УТВЕРЖДАЮ
И.о. главного врача
ГБУЗ НО «Ветлужская ЦРБ
имени доктора Гусева П.Ф.»
А.Н. Кудрявцев
«18» декабря 2024 г.
ПОЛИТИКА
в отношении обработки персональных данных в Государственном бюджетном учреждении здравоохранения Нижегородской области «Ветлужская центральная районная больница имени доктора Гусева П.Ф.»
1.1. Настоящая Политика в отношении обработки персональных данныхв Государственном бюджетном учреждении здравоохранения Нижегородской области «Ветлужская центральная районная больница имени доктора Гусева П.Ф.» (далее – Политика) разработана в целях реализации Государственным бюджетным учреждением здравоохранения Нижегородской области «Ветлужская центральная районная больница имени доктора Гусева П.Ф.» (далее – Учреждение, Оператор) положений Законодательства РФ, которыми определены случаи и особенности обработки персональных данных, а также установлены требования к обработке персональных данных, и направлена на обеспечение защиты прав и свобод человека и гражданина (субъекта персональных данных) при организации и/или осуществлении обработки его персональных данных Учреждением, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну[1].
1.2. Политика является основой для организации обработки и защиты персональных данных в Учреждении, в том числе для разработки локальных нормативных актов, организационно-распорядительных документов (ОРД), регламентирующих порядок обработки и защиты персональных данных в Учреждении, и определяет:
· принципы обработки персональных данных, которыми руководствуется Учреждение при осуществлении деятельности;
· правовые основания обработки персональных данных;
· цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории Субъектов персональных данных, персональные данные которых обрабатываются, способы, сроки обработки и хранения персональных данных, порядок их уничтожения;
· основных участников системы управления процессом обработки и защиты персональных данных;
· основы организации процесса управления обработкой персональных данных;
· основы порядка рассмотрения обращений Субъектов персональных данных по вопросам обработки персональных данных;
· меры обеспечения конфиденциальности и безопасности персональных данных;
· права и обязанности Оператора и Субъектов персональных данных.
1.3. Требования настоящей Политики являются обязательными для исполнения всеми Сотрудниками Учреждения/Оператора.
1.4. Иные учреждения, подведомственные министерству здравоохранения Нижегородской области, вправе использовать настоящую Политику для разработки собственных ОРД, регламентирующих вопросы обработки и защиты персональных данных.
1.5. Ознакомление Сотрудников Учреждения с условиями настоящей Политики осуществляется под подпись.
1.6. Субъекты персональных данных могут ознакомиться с условиями настоящей Политики в информационно-телекоммуникационной сети Интернет на настоящем сайте, а также на официальном сайте Оператора, размещенном по интернет-адресу: https://vetluga-crb.mznn.ru/
1.7. Основные термины, используемые в настоящей Политике:
· Персональные данные– любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
· Иные персональные данные – персональные данные, не относящиеся к Специальным категориям персональных данных или к Биометрическим персональным данным.
· Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности Субъекта персональных данных, позволяют установить (идентифицировать) его личность и используются Оператором для такого установления (идентификации) личности.
· Специальные категории персональных данных – персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, а также сведения о судимости.
· Законодательство РФ – совокупность положений нормативно-правовых актов РФ, которыми определены случаи и особенности обработки персональных данных, а также установлены требования к обработке персональных данных.
· Учреждение/Оператор – ГБУЗ НО «Ветлужская ЦРБ имени доктора Гусева П.Ф.».
· Оператор персональных данных (оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
· Регулятор, Надзорный орган – орган, уполномоченный на осуществление государственного контроля/надзора за соответствием обработки персональных данных требованиям Законодательства РФ о персональных данных (Роскомнадзор);
· Субъект персональных данных – физическое лицо, которое прямо или косвенноопределеноили определяемо с помощью персональных данных;
· Работник, Сотрудник – лицо, состоящее с Оператором или Министерством здравоохранения в трудовых отношениях на основании заключенного трудового договора.
· Бывший работник – физическое лицо, ранее состоявшее с Оператором или Министерством здравоохранения в трудовых отношениях на основании заключенного трудового договора.
· Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования средств автоматизации, с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
· Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
· Обработка персональных данных без использования средств автоматизации (неавтоматизированная обработка персональных данных) – обработка персональных данных, осуществляемая при непосредственном участии человека.
· Доступ к персональным данным – возможность получения персональных данных.
· Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
· Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
· Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
· Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
· Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
· Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
· Трансграничная передача персональных данных[2] – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
В случае отсутствия используемого термина толкование и применение термина при необходимости осуществляется в соответствии с положениями применимых нормативных правовых актов РФ.
1.8. Для страниц сайтов, посредством которогоОператором осуществляется сбор персональных данных, с целью ознакомления Субъектов персональных данных с более детальной информацией об обработке персональных данных и принимаемых мерах по их защите, Оператор вправе разрабатывать дополнительные документы (частные политики) по вопросам обработки и защиты персональных данных, сбор которых осуществляется через такие страницы сайтов, и размещать их на соответствующих страницах сайтов. При этом обозначенные документы (частные политики) не могут противоречить требованиям Законодательства РФ и положениям настоящей Политики.
Организация обработки и защиты персональных данных в Учреждении, а также реализация процессов, в которых осуществляется обработка персональных данных, производится с учетом общих принципов обработки персональных данных, которые являются основой соблюдения требований Законодательства РФ, обеспечения конфиденциальности и безопасности персональных данных Субъектов персональных данных, а также защиты прав Субъектов персональных данных. Среди таких принципов:
· осуществление обработки персональных данных на законной и справедливой основе;
· обеспечение ограничения обработки персональных данных заранее определенными и законными целями обработки персональных данных, в том числе недопущение обработки персональных данных, несовместимой с целями сбора (получения) персональных данных;
· обработка исключительно тех персональных данных, которые отвечают целям обработки персональных данных;
· недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
· обеспечение соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки персональных данных, в том числе недопущение обработки персональных данных, избыточных по отношению к заявленным целям их обработки;
· обеспечение точности персональных данных, их достаточности и в необходимых случаях актуальности по отношению к целям обработки персональных данных;
· осуществление хранения персональных данных в форме, позволяющей определить Субъекта персональных данных не дольше, чем этого требуют цели их обработки, если иной срок хранения персональных данных не установлен Законодательством РФ;
· уничтожение персональных данныхпо достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Законодательством РФ.
Правовые основания обработки персональных данных Субъектов персональных данных устанавливаются с учетом определенныхусловий обработки персональных данных. Правовыми основаниями обработки персональных данных, на основании которых допускается обработка персональных данных в Учреждении, являются:
3.1. Согласие Субъекта персональных данных на обработку персональных данных с учетом требований, предусмотренных Законодательством РФ для соответствующей категории персональных данных;
3.2. Положения нормативных правовых актов, во исполнение которых и в соответствии с которыми Оператор осуществляет обработку персональных данных, включая, но не ограничиваясь /2/, /3/, /4/, /5/, /6/, /7/, /8/, /9/, /10/, /15/, /16/;
3.3. Обеспечение и/или осуществление защиты жизни, здоровья или иных жизненно важных интересов Субъекта персональных данных, если получение согласия Субъекта персональных данных невозможно;
3.4. Права и законные интересы Оператора либо достижение общественно значимых целей при условии, что при этом не нарушаются права и свободы Субъекта персональных данных;
3.5. Обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с Законодательством РФи иными применимыми нормативными правовыми актами РФ.
Обработка персональных данных Субъектов персональных данных осуществляется Оператором в заранее определенных целях:
· выполнение функций оператора государственных информационных систем и информационных систем персональных данных;
· поддержка процесса управления оказания медицинской помощи населению, повышение информированности населения и повышение качества медицинского обслуживания;
· ведение бухгалтерского и кадрового учета.
В зависимости от конкретных целей обработки персональных данных такая обработка может включать в себя, в частности, совершение всех или некоторых из следующих действий (операций) с персональными данными: сбор (получение), запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Для каждой цели обработки персональных данных в Учреждении определены:
· категории Субъектов персональных данных, персональные данные которых обрабатываются Оператором;
· соответствующие категории и перечень обрабатываемых персональных данных;
· способы и сроки обработки и хранения персональных данных;
· порядок уничтожения персональных данных.
4.1. В соответствии с целями обработки персональных данных Учреждением осуществляется обработка следующих категорий Субъектов персональных данных:работники, пациенты и граждане, персональные данные которых необходимы для выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей.
Представленный перечень персональных данных сформирован с учетом требований /1/ для предоставления информации о персональных данных, обработка которых допускается в рамках определенных настоящей Политикой целей обработки персональных данных. Конкретный перечень персональных данных определяется согласием на обработку персональных данных, соответствующим договором, требованиями Законодательства РФ с учетом особенностей процесса и/или сервиса, услуги.
4.1.1. В отношении РаботниковУчреждения Оператором осуществляется обработка персональных данных, входящих в категорию «Иные персональные данные»:
ФИО; дата рождения; место рождения; пол; гражданство; адрес регистрации; адрес проживания; дата регистрации по месту жительства; контактные телефоны; данные документа, удостоверяющего личность; наименование органа, выдавшего документ, удостоверяющий личность; дата выдачи документа, удостоверяющего личность; ИНН; СНИЛС; реквизиты документа об образовании; сведения об образовании; сведения о послевузовском профессиональном образовании; направление подготовки или специальность по документу об образовании; квалификация по документу об образовании; профессия; реквизиты трудового договора; характер, вид работы; стаж работы; семейное положение; сведения о составе семьи; сведения о воинском учете; сведения о приеме на работу и переводах на другие должности; сведения об увольнении; основание прекращения трудового договора (увольнения); сведения об аттестации; сведения о повышении квалификации; сведения о профессиональной переподготовке; табельный номер; сведения о наградах (поощрениях); сведения о социальных льготах, на которые сотрудник имеет право в соответствии с законодательством; данные об отпусках.
В отношении Работников Оператором не обрабатываются «Специальные категории персональных данных», «Биометрические персональные данные».
Учреждение вправе поручить обработку персональных данных Работников Оператора иному лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее – поручение).
Лицо, осуществляющее обработку персональных данных по поручению Учреждения, соблюдает принципы и правила обработки персональных данных, предусмотренные настоящей Политикой. В поручении Учреждения определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, способы и цели обработки, установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также указаны требования к защите обрабатываемых персональных данных.
При поручении обработки персональных данных другому лицу ответственность перед субъектом персональных данных за действия указанного лица несет Учреждение. Лицо, осуществляющее обработку персональных данных по поручению Учреждения, несет ответственность перед Учреждением.
4.1.2. В отношении Пациентов и Граждан, персональные данные которых необходимы для выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей, Оператором осуществляется обработка следующих персональных данных:
«Иные персональные данные»: ФИО; дата рождения; место рождения; пол; гражданство; адрес регистрации; адрес проживания; дата регистрации по месту жительства; контактные телефоны; данные документа, удостоверяющего личность; наименование органа, выдавшего документ, удостоверяющий личность; дата выдачи документа, удостоверяющего личность; СНИЛС; профессия; семейное положение.
«Специальные категории персональных данных»: сведения о состоянии здоровья; диагноз; сведения о заболевании; сведения об инвалидности; сведения о наличии инвалидности; сведения, содержащиеся в личной медицинской книжке сотрудника; результаты медицинского обследования; данные лабораторных исследований; сведения, указанные в анамнезе; сведения, указанные в эпикризе; сведения об оказанных медицинских услугах; сведения об оказанной медицинской помощи; группа крови, резус принадлежность; антропометрические данные; сведения об иммунизации; сведения о вакцинации; сведения о госпитализации; сведения об оперативных вмешательствах; сведения о постановке на учет в ранние сроки беременности; сведения о беременности; причина нетрудоспособности; сведения о нетрудоспособности (в том числе диагноз); категория льготы; данные аудиограммы; данные исследования; результаты обследования; медицинское заключение; вид оказанной медицинской помощи; результат обращения за медицинской помощью; сведения о состоянии здоровья и его соответствии выполняемой работе, степени ограничения способности к трудовой деятельности; иные сведения, необходимые в целях оказания платных медицинских и иных услуг населению в соответствии с Уставом; иные сведения, необходимые в целях оказания медицинской помощи; иные сведения, необходимые в целях оказания медицинских услуг; сведения, касающиеся расовой принадлежности; сведения, касающиеся интимной жизни; иные сведения, необходимые в соответствии с законодательством в сфере здравоохранения.
4.1.3. Условия обработки персональных данных
Условия обработки персональных данных, отличные от получения согласия субъекта персональных данных на обработку его персональных данных, являются альтернативными.
Обработка иных категорий персональных данных осуществляется Учреждением с соблюдением следующих условий:
· обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
· обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию (авторизацию) субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг.
Обработка Специальных категорий персональных данных осуществляется Учреждением с соблюдением следующих условий:
· субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
· обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну.
Перечень и срок хранения обрабатываемых персональных данных утвержден нормативным актом Учреждения.
4.2. Для каждой цели обработки персональных данных предусмотрены следующие способы обработки персональных данных: автоматизированная обработка персональных данных (с использованием средств вычислительной техники) и неавтоматизированная обработка персональных данных с фиксацией персональных данных на Материальных носителях. Обработка Оператором персональных данных автоматизированным способом (в ГИС, в ИСПДн) и неавтоматизированным способом осуществляется с соблюдением требований Законодательства РФ и ОРД Оператора, регламентирующих вопросы обработки и защиты персональных данных.
При обработке персональных данных автоматизированном способом Оператор принимает необходимые меры по обеспечению безопасности обрабатываемых персональных данных, в том числе с учетом требований /11/.
Обработка персональных данных неавтоматизированном способом, в том числе хранение Материальных носителей персональных данных, осуществляется в помещениях, обеспечивающих их сохранность, с возможностью определить места хранения персональных данных (Материальных носителей) в порядке, предусмотренном Законодательством РФ, в том числе /14/.
4.2.1. Особенности обработки персональных данных, осуществляемой без использования средств автоматизации
Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее – материальные носители), в специальных разделах или на полях форм (бланков).
При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных используется отдельный материальный носитель.
Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники Учреждения или лица, осуществляющие такую обработку по договору с Учреждением), проинформированы о факте обработки ими персональных данных, обработка которых осуществляется Учреждением без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами Учреждения.
При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее– типовая форма), соблюдаются следующие условия:
а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) содержат сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес Оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых Учреждением способов обработки персональных данных;
б) типовая форма предусматривает поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, – при необходимости получения письменного согласия на обработку персональных данных;
в) типовая форма составляется таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
г) типовая форма исключает объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, принимаются меры по обеспечению раздельной обработки персональных данных, в частности:
а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
Уничтожение части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание). Указанные правила применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
4.2.2. Меры по обеспечению безопасности персональных данных при их обработке, осуществляемой без использования средств автоматизации
Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
Обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются Учреждением.
4.3. Сроки обработки и хранения персональных данных для каждой указанной в цели обработки персональных данных устанавливаются с учетом соблюдения требований, в том числе условий обработки персональных данных, определенных Законодательством РФ, и/или согласия Субъекта персональных данных на обработку его персональных данных, при этом обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, если иное не установлено Законодательством РФ.Перечень и срок хранения обрабатываемых персональных данных утвержден нормативным актом Учреждения.
4.4. Порядок уничтожения персональных данных:
Уничтожение персональных данных, обработка которых осуществляется в рамках целей, указанных в настоящей Политике, производится в следующих случаях:
· при достижении цели (целей) обработки персональных данных или в случае утраты необходимости в достижении цели (целей) обработки персональных данных, если иное не установлено /1/ и/или иными применимыми нормативными правовыми актами РФ;
· при выявлении факта неправомерной обработки персональных данных;
· при отзыве Субъектом персональных данных согласия на обработку персональных данных, если иное не предусмотрено /1/;
· при предъявлении Субъектом персональных данных требования о прекращении обработки персональных данных, если иное не установлено /1/.
Способы уничтожения персональных данных определяются ОРД Оператора по вопросам обработки и защиты персональных данных в зависимости от способов обработки персональных данных и Материальных носителей персональных данных, на которых осуществляется запись и хранение персональных данных. Факт уничтожения персональных данных подтверждается в порядке, предусмотренном п. 6.8. настоящей Политики.
В целях обеспечения эффективного управления организацией обработки и защиты персональных данных, а также выполнения обязанностей, предусмотренных Законодательством РФ для Операторов персональных данных, в Учреждении определены основные участники указанной системы управления и их функции.
5.1. Руководство Учреждения.
Руководство Учреждения определяет, рассматривает и утверждает Политику Учреждения в отношении обработки персональных данных.
5.2. Лицо, ответственное за организацию обработки и защиту персональных данных.
В функции лица, ответственного за организацию обработки и защиту персональных данных, входят, в частности:
· управление процессом организации обработки и защиты персональных данных в соответствии с требованиями Законодательства РФ, настоящей Политики, а также ОРД Учреждения по вопросам обработки и защиты персональных данных;
· разработка ОРД по вопросам обработки и защиты персональных данных;
· организация ознакомления сотрудников Учреждения с положениями Законодательства РФ, настоящей Политики, ОРД Учреждения по вопросам обработки и защиты персональных данных
· организация и осуществление экспертизы процессов, в рамках которых осуществляется обработка персональных данных, и/или ОРД Учреждения по вопросам обработки и защиты персональных данных;
· организация и осуществление имплементации требований ОРД Учреждения по вопросам обработки и защиты персональных данных в процессы Учреждения, в рамках которых осуществляется обработка персональных данных;
· организация и осуществление оценки вреда, который может быть причинен Субъектам персональных данных в случае нарушения Учреждением требований Законодательства РФ, соотношение указанного вреда и принимаемых Учреждением мер, направленных на обеспечение выполнения обязанностей, предусмотренных /1/;
· разработка и организация применения правовых, организационных и технических мер защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также иных неправомерных действий в отношении персональных данных;
· организация и осуществление оценки эффективности принимаемых мер по обеспечению безопасности персональных данных;
· обеспечение внутреннего контроля за соблюдением Учреждением и его Работниками требований Законодательства РФ, настоящей Политики, иных ОРД Учреждения по вопросам обработки и защиты персональных данных;
· осуществление контроля за приемом и обработкой обращений и запросов Субъектов персональных данных или их Представителей, обладающих полномочиями на представление интересов Субъектов персональных данных, по вопросам обработки персональных данных Субъектов персональных данных;
· взаимодействие с Надзорным органом и иными компетентными государственными органамипо вопросам обработки и защиты персональных данных в Учреждении;
· обеспечение уведомления Надзорного органа об изменении сведений об обработке персональных данных;
· осуществление уведомления Надзорного органа об указанных в /1/ обстоятельствах в случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав Субъектов персональных данных.
Лицо, ответственное за организацию обработки и защиту персональных данных, при исполнении возлагаемых на него функций вправе:
· делегировать[3]функции, предусмотренные для лица, ответственного за организацию обработки и защиту персональных данных, положениями Законодательства РФ, настоящей Политики, иных ОРДУчреждения, лицам, обязанным исполнять указания/поручения по реализации указанных функций в порядке, установленном ОРД Учреждения;
· направлять указания и поручения по вопросам обработки и защиты персональных данных в порядке, предусмотренном ОРД Учреждения, в адрес подразделений и Работников Учреждения, осуществляющих обработку персональных данных и/или имеющих доступ к персональным данным. Исполнение таких указаний и поручений является обязательным для всех подразделений и Работников Учреждения.
В целях соблюдения требований Законодательства РФ, прав Субъектов персональных данных лицом, ответственным за организацию обработки и защиту персональных данных, осуществляется контроль:
· соответствия обработки персональных данных в процессах Учреждения, в рамках которых осуществляется обработка персональных данных, положениям Законодательства РФ, ОРД Учреждения;
· соблюдения учреждениями, подведомственными Минздраву Нижегородской области, требований, предусмотренных /1/.
5.4. Специалист по защите информации в рамках проводимых контрольных процедур оценивает эффективность системы внутреннего контроля Учреждения по обеспечению соблюдения требований настоящей Политики, а также утвержденных ОРД по вопросам обработки и защиты персональных данных.
5.5. Юрисконсульт и специалист по персоналу:
· осуществляет мониторинг законодательства и доведение до сведения заинтересованных подразделений информации об изменении правовых норм;
· обеспечивает правовую защиту интересов Учреждения при рассмотрении административных дел, а также гражданско-правовых, трудовых и иных споров по вопросам обработки и защиты персональных данных.
5.6. Владельцы процессов и ИСПДн.
Владельцы процессов и ИСПДн обеспечивают разработку и функционирование процессов и ИСПДн, в которых осуществляется обработка персональных данных, в соответствии с положениями Законодательства РФ, ОРД Учреждения и Минздрава Нижегородской области по вопросам обработки и защиты персональных данных.
6.1. Обрабатывая персональные данные, Оператор руководствуется принципами, а также требованиями к порядку и условиям обработки персональных данных, установленным положениями Законодательства РФ, настоящей Политики, иных ОРД Учреждения.
6.2. Осуществление сбора (получения) и дальнейшие действия (операции) по обработке персональных данных производятся при соблюдении прав и законных интересов Субъектов персональных данных в рамках утвержденных процессов и/или ОРД Учреждения, определяющих, в частности:
· правовые основания (условия) и источники сбора (получения) персональных данных;
· цели обработки персональных данных, категории и перечень обрабатываемых персональных данных, категории Субъектов персональных данных;
· сроки обработки и хранения персональных данных;
· обязанности Владельцев процессов и ИСПДн, этапы/операции (действия) и способы обработки персональных данных;
· порядок доступа Работников Оператора к персональным данным и их обработке;
· порядок передачи персональных данных, которым предоставлен доступ к Единой Цифровой Платформе Регионального Сегмента Единой Государственной Информационной Системы в Сфере Здравоохранения Нижегородской области (РС ЕГИСЗ НО) и Федеральный Регистр медицинской организации (ФРМО/ФРМР);
· порядок уточнения (обновления, изменения) персональных данных;
· порядок архивного хранения персональных данных;
· порядок прекращения обработки и уничтожения/обеспечения уничтожения персональных данных (если обработка персональных данных осуществляется другим лицом, действующим по поручению Учреждения).
Указанные процессы и/или ОРД Учреждения не могут противоречить положениям Законодательства РФ и настоящей Политики. В случае противоречия между процессами и/илиОРД Учреждения и положениями Законодательства РФ и/или настоящей Политики указанные процессы и/или ОРД Учреждения должны быть приведены в соответствие с положениями настоящей Политики и Законодательства РФ.
6.3. В Учреждении определяется перечень лиц, осуществляющих обработку персональных данных. Доступ к обрабатываемым персональным данным предоставляется только тем Работникам Учреждения, которым он необходим для выполнения ими конкретных функций в рамках исполнения должностных обязанностей. В должностные инструкции Работников Учреждения и/или в трудовые договоры, в том числе, если применимо, в дополнительные соглашения к трудовым договорам, включаются обязанности по обеспечению конфиденциальности и безопасности персональных данных и меры ответственности за их невыполнение. До начала обработки персональных данных Работники Учреждения, в трудовые функции и обязанности которых входит осуществление обработки персональных данных, ознакомляются под подпись с положениями законодательства РФ о персональных данных, в том числе с требованиями к защите персональных данных, а также с требованиями ОРД Учреждения, регламентирующих вопросы обработки и защиты персональных данных.
6.4. В части обработки персональных данных Работников УчрежденияОператор, в том числе, руководствуется специальными требованиями /9/.
6.5. При обработке персональных данных в Учреждении обеспечивается своевременное уточнение (обновление, изменение) персональных данных Субъекта персональных данных, которое осуществляется, в частности, в случае подтверждения факта неточности персональных данных на основании:
· обращенияСубъекта персональных данных к Оператора, его Представителя (обладающего полномочиями на представление интересов Субъекта персональных данных), Надзорного органа с документами, подтверждающими факт неточности и изменение персональных данных;
· установления Оператором расхождений между ранее полученными персональными данными Субъекта персональных данных и персональными данными, предоставляемыми Субъектом персональных данных, его Представителем, (обладающим полномочиями на представление интересов Субъекта персональных данных), Надзорным органом наряду с подтверждающими документами.
6.6. Получение персональных данных от государственных органов власти и учреждений, муниципальных органов власти, государственныхфондов допускается в отсутствие согласия Субъекта персональных данных на обработку его персональных данных в порядке и в случаях, предусмотренных Законодательством РФ.
6.7. Обработка персональных данных прекращается при достижении целей такой обработки, а также по истечении срока, предусмотренного Законодательством РФ, договором или согласием Субъекта персональных данных на обработку его персональных данных. В случае отзыва Субъектом персональных данных согласия на обработку его персональных данных и/или требования о прекращении обработки персональных данных Оператор вправе продолжить обработку персональных данных без согласия Субъекта персональных данных при условии наличия оснований (условий обработки персональных данных), предусмотренных /1/.
6.8. В случае отсутствия у Оператора правовых оснований на обработку персональных данных (условий обработки персональных данных) Оператор в порядке, установленном /1/, производит уничтожение персональных данных. Уничтожение производится посредством осуществления действий, в результате которых становится невозможным восстановить содержание персональных данных в ИСПДн и/или в результате которых уничтожаются Материальные носители персональных данных. По результатам проведенного уничтожения составляется акт об уничтожении персональных данных и формируется запись в электронном журнале регистрации событий в ИСПДн, в соответствии с требованиями /14/, установленными Надзорным органом, к документированию уничтожения персональных данных, или, в случае утраты силы, признания недействующим указанных требований полностью или в части, в соответствии с положениями Законодательства РФ.
В целях соблюдения прав и законных интересов Субъектов персональных данных, требований к срокам обработки обращений и/или запросов, обеспечения качества и полноты принятия мер в отношении законного требования Субъекта персональных данных и для предоставления необходимой информации по его обращению и/или запросу осуществляется прием и обработка обращений Субъектов персональных данных, а также контроль обеспечения такого приема и обработки.
При рассмотрении обращений и/или запросов Субъектов персональных данных Оператор руководствуется положениями Законодательства РФ, согласно которым запрос и/или обращение, направляемый и/или направляемое Субъектом персональных данных, должен/должно содержать информацию, предусмотренную /1/.
Предоставление информации и/или принятие иных мер в связи с поступлением обращений и/или запросов от Субъектов персональных данных производится Оператором в объеме и сроки, предусмотренные Законодательством РФ. Установленный Законодательством РФ срок ответа субъекту на обращение и/или запрос о предоставлении информации, касающейся обработки его персональных данных, может быть продлен на основании установленных /1/ ограничений с направлением в адрес Субъекта персональных данных мотивированного уведомления, содержащего сведения о причинах продления срока предоставления запрашиваемой информации.
Оператор, получив обращение и/или запрос Субъекта персональных данных и убедившись в его законности, предоставляет Субъекту персональных данных и/или его Представителю, обладающему полномочиями на представление интересов Субъекта персональных данных, сведения, указанные в запросе, в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе, и/или принимает иные меры в зависимости от специфики (особенностей) обращения и/или запроса. Предоставляемые Оператором сведения не могут содержать персональные данные, принадлежащие другим Субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных.
Оператор вправе отказать Субъекту персональных данных в удовлетворении требований, указанных в обращении и/или запросе, путем направления Субъекту персональных данных или его Представителю мотивированного отказа, если у Оператора в соответствии с Законодательством РФ имеются законные основания отказать в выполнении/удовлетворении поступивших требований.
8. Меры обеспечения конфиденциальности и безопасности персональных данных
Для обеспечения конфиденциальности и безопасности персональных данных Субъектов персональных данных, защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в соответствии с /1/ Оператором принимаются необходимые правовые, организационные и технические меры или обеспечивается их принятие (если обработка персональных данных осуществляется лицом, действующим по поручению Оператора). В частности, принимаются следующие меры:
· определяются актуальные угрозы безопасности персональных данных, обрабатываемых в ИСПДн, и применяются соответствующие организационные и технические меры защиты для установленных уровней защищенности персональных данных;
· для нейтрализации актуальных угроз безопасности персональных данных применяются средства защиты информации, соответствующие уровням защищенности персональных данных и прошедшие в установленном порядке процедуру оценки соответствия;
· проводится оценка эффективности принимаемых/реализованных мер защиты и обеспечения безопасности персональных данных, в том числе до ввода информационных систем в эксплуатацию (оценка может проводиться с привлечением на договорной основе юридических лиц, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации);
· обеспечиваются пропускной режим и управление доступом к персональным данным, техническим средствам, используемым при обработке персональных данных, средствам защиты информации, средствам обеспечения функционирования информационных систем;
· обеспечиваются регистрация и учет всех действий, совершаемых с персональными данными в ИСПДн;
· осуществляется организация учета технических средств, входящих в состав ИСПДн;
· определяется и при необходимости актуализируется перечень лиц (Работников Оператора), которым для выполнения трудовых обязанностей необходим доступ к персональным данным, обработка которых производится в ИСПДн, а также обеспечивается предоставление доступа к обрабатываемым персональным данным тем Работникам Оператора, которым необходим указанный доступ в связи с выполнением ими трудовых обязанностей;
· обеспечивается автоматическая регистрация событий безопасности, связанных с изменением прав доступа к персональным данным;
· внедряются подсистемы аудита ИСПДн, которые осуществляют регистрацию и учет действий, совершаемых с персональными данными;
· обеспечивается доступ к содержанию событий безопасности ограниченному кругу лиц, в частности, реализуется размещение ИСПДнОператора внутри защищенного периметра, расположенного в пределах контролируемой зоны;
· реализуются меры, направленные на предупреждение и обнаружение фактов несанкционированного доступа к персональным данным, и принятие мер, в том числе мер по предупреждению, обнаружению и ликвидации последствий компьютерных атак на ИСПДн и по реагированию на компьютерные инциденты в них;
· обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним, обеспечивается восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
· осуществляется эксплуатация разрешенного к использованию программного обеспечения и/или его компонентов, а также обеспечивается контроль за его установкой и обновлением;
· осуществляется выявление инцидентов и реагирование на них, реализуются меры по устранению инцидентов в случае их появления;
· осуществляется в необходимом объеме взаимодействие с ГосСОПКА;
· проводится внешний и внутренний инструментальный контроль защищенности системных компонентов информационной структуры на наличие уязвимостей;
· осуществляется эксплуатация разрешенного к использованию программного обеспечения и (или) его компонентов, а также обеспечивается контроль за его установкой и обновлением;
· реализуется контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности ИСПДн.
Помимо этого, проводится оценка вреда, который может быть причинен Субъектам персональных данных в случае нарушения /1/, а также соотношение указанного вреда и принимаемых мер, направленных на обеспечение выполнения обязанностей, предусмотренных /1/.
9. Права и обязанности Оператора, права Субъекта персональных данных
9.1. Оператор обязан:
· при обработке персональных данных соблюдать требования Законодательства РФ в отношении обработки и защиты персональных данных, в том числе требования, предусмотренные для сбора персональных данных;
· при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети Интернет, обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных Субъектов персональных данных (граждан РФ) с использованием баз данных, находящихся на территории РФ, за исключением случаев, предусмотренных Законодательством РФ;
· при сборе персональных данных с использованием информационно-телекоммуникационных сетей, опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего Оператору сайта в информационно-телекоммуникационной сети Интернет, с использованием которых осуществляется сбор персональных данных, документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети;
· в случае, если предоставление персональных данных и/или согласия на их обработку является обязательным в соответствии с требованиями Законодательства РФ и Субъект персональных данных отказывается предоставить персональные данные и/или предоставить согласие на их обработку, разъяснить юридические последствия непредоставления персональных данных и/или согласия на их обработку;
· в случае получения персональных данных не от Субъекта персональных данных до начала обработки персональных данных предоставить Субъекту персональных данных информацию, предусмотренную /1/, с учетом установленных Законодательством РФ исключений;
· выполнять обязанности, предусмотренные для Операторов персональных данных, при получении запросов и/или обращений по вопросам персональных данных от Субъекта персональных данных и/или его Представителя (обладающего полномочиями на представление интересов Субъекта персональных данных), и/или от Надзорного органа;
· принимать меры, направленные на обеспечение выполнения требований /1/;
· принимать меры по обеспечению безопасности персональных данных при их обработке;
· выполнять обязанности по устранению нарушений Законодательства РФ, если такие нарушения были допущены при обработке персональных данных, а также выполнять обязанности по уточнению, блокированию, уничтожению персональных данных в случаях, предусмотренных Законодательством РФ;
· выполнять обязанности, установленные /1/ для Операторов персональных данных, в случае получения от Субъекта персональных данных требования о прекращении обработки персональных данных и/или отзыва согласия на обработку персональных данных;
· взаимодействовать с Надзорным органом по вопросам, связанным с обработкой и защитой персональных данных, в случаях, предусмотренных /1/;
· выполнять иные обязанности, предусмотренные Законодательством РФ.
9.2. Оператор имеет право:
· обрабатывать персональные данные Субъектов персональных данных в отсутствие согласия на обработку персональных данных в случаях, предусмотренных /1/;
· отказать Субъекту персональных данных в предоставлении сведений об обработке его персональных данных в случаях, предусмотренных /1/;
· самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных /1/ и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законодательством РФ;
· самостоятельно, с учетом требований /1/, определять перечень необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных на основании проведенной оценки актуальных угроз безопасности персональных данных, а также определять порядок реализации указанных мер и проводить оценку эффективности принимаемых мер;
· реализовывать иные права, предусмотренные Законодательством РФ.
9.3. Субъект персональных данных имеет право:
· свободно, своей волей и в своем интересе предоставлять согласие на обработку персональных данных с учетом требований /1/ к форме и содержанию согласий на обработку персональных данных;
· направлять запросы и/или обращения, в том числе повторные, и получать информацию по вопросам обработки персональных данных, принадлежащих Субъекту персональных данных, в порядке, форме, объеме и в сроки, установленные Законодательством РФ;
· требовать от Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные Законодательством РФ меры по защите своих прав с учетом исключений, установленных /1/;
· обратиться с требованием к Оператору прекратить обработку своих персональных данных, а также отозвать предоставленное согласие на обработку персональных данных;
· осуществлять иные права, предусмотренные Законодательством РФ.
Настоящая Политика вводится в действие и становится обязательной для исполнения всеми Работниками Оператора с момента ее утверждения.
Настоящая Политика может быть изменена в любой момент времени по усмотрению Оператора.
В случае, если по тем или иным причинам одно или несколько положений настоящей Политики будут признаны недействительными или не имеющими юридической силы, данные обстоятельства не оказывают влияния на действительность или применимость остальных положений Политики.
Работники Оператора, получившие доступ к персональным данным, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Работники Оператора несут ответственность за несоблюдение требований к обработке и защите персональных данных, в том числе за разглашение или незаконное использование персональных данных, в порядке и при наступлении условий, предусмотренных /9/, а также могут быть привлечены к гражданско-правовой, административной и уголовной ответственности в порядке, предусмотренном применимыми нормативными правовыми актами РФ.
Оператор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
Политика в отношении обработки персональных данных Оператора публикуется на настоящем сайте в информационно-телекоммуникационной сети Интернет по адресу: https://vetluga-crb.mznn.ru/. К Политике обеспечивается неограниченный доступ.
Перечень ссылочных документов
1. Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных».
2. Федеральный закон от 21.11.11 №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».
3. Федеральный закон от 17.07.99 №178-ФЗ «О государственной социальной помощи»
4. Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации».
5. Федеральный закон от 16.07.99 №165-ФЗ «Об основах обязательного социального страхования».
6. Федеральный закон от 27.07.10 №210-ФЗ «Об организации предоставления государственных и муниципальных услуг».
7. Гражданский кодекс Российской Федерации.
8. Налоговый кодекс Российской Федерации.
9. Трудовой кодекс Российской Федерации.
10. Бюджетный кодекс Российской Федерации.
11. Постановление Правительства Российской Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
12. Постановление Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
13. Приказ Федеральной службы по техническому и экспортному контролю России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (зарегистрировано в Минюсте России 14.05.2013 №28375).
14. Приказ Федеральной службы в сфере связи, информационных технологий и массовых коммуникаций от 28.10.2022 №179 «Об утверждении Требований к подтверждению уничтожения персональных данных».
15. Устав, утвержден приказом министерства здравоохранения Нижегородской области №315-485/21П/од от 17.06.2021.
16. Договоры, заключаемые между оператором и субъектом персональных данных.
17. Согласия субъектов персональных данных на обработку персональных данных.
[1]С целью обеспечения прозрачности процессов Оператора, в которых осуществляется обработка персональных данных, а также для повышения информативности настоящего документа, Политика была разработана в том числе в соответствии с подготовленными Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзором) «Рекомендациями по составлению документа, определяющего политику оператора в отношении обработки персональных данных, в порядке, установленном Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных». Структурно-содержательное наполнение документа, в частности, раздела 4, сформировано, в том числе, во исполнение требований ст. 5, 6, 10, 18, 18.1, 19, 22 /1/, где /1/ – порядковый номер(Федеральный законот 27.07.2006 № 152-ФЗ «О персональных данных») в перечне ссылочных документов.
[2] Трансграничная передача данных Оператором не осуществляется
[3]Делегирование функций осуществляется в соответствии с применимыми ОРД Оператора
Я, представляя свои персональные данные, даю свое согласие на их обработку ГБУЗ НО «Нижегородская областная клиническая больница им. Н.А.Семашко» и подтверждаю, что действую добровольно и в своих интересах.
Согласие распространяется на следующую информацию: фамилия, имя, отчество, дата рождения, телефон, электронная почта, данные содержащиеся в обменной карте, результаты обследований и анализов, консультации специалистов и любая другая информация, относящаяся к моей личности, которая может повлиять на исход беременности и родов.
Согласие на обработку персональных данных дается мною в целях получения разрешения на госпитализацию в ГБУЗ НО «Нижегородская областная клиническая больница им. Н.А.Семашко». Я информирована о возможности личного посещения заместителя главного врача по медицинской части в часы приема населения.
Информация направляется мной для информирования о состоянии здоровья и обратной связи.
Обработка персональных данных осуществляется смешанным способом: без использования средств автоматизации (неавтоматизированная обработка) и с использованием средств автоматизации.
Основанием для обработки персональных данных являются: Ст. 24 Конституции Российской федерации; ст. 6 Федерального закона №152-ФЗ «О персональных данных»;
В ходе обработки с персональными данными могут быть совершены следующие действия, которые необходимы для достижения вышеуказанных целей: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, блокирование, уничтожение.
Передача персональных данных третьим лицам осуществляется на основании законодательства Российской Федерации и с согласия субъекта персональных данных.
Обработка персональных данных может быть прекращена по письменному заявлению субъекта персональных данных.
Срок действия Согласия три месяца с момента его подтверждения.
Вконтакте