УТВЕРЖДЕНА
Приказом главного врача
ГБУЗ РК «Печорская ЦРБ»
ПОЛИТИКА
в отношении обработки персональных данных
1 ВВЕДЕНИЕ
1.1. Деятельность ГБУЗ РК «Печорская ЦРБ» (далее – Учреждение), невозможна без использования, хранения и передачи персональных данных различных категорий субъектов, включая работников, пациентов Учреждение и их близких родственников (законных представителей). Персональные данные являются конфиденциальной информацией и подлежат защите в соответствии с законодательством Российской Федерации,
1.2. Обеспечение безопасности персональных данных является одной из приоритетных задач Учреждения.
1.3. Политика в отношении обработки персональных данных в Учреждении (далее – Политика) определяет существующую и планируемую деятельность Учреждения касательно обработки и обеспечения безопасности персональных данных работников, пациентов Учреждения и их близких родственников (законных представителей) или иных лиц, чьи персональные данные обрабатываются Учреждением, с целью обеспечения защиты прав и свобод человека и гражданина при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также врачебную тайну и устанавливает ответственность должностных лиц Учреждения, имеющих доступ к персональным данным, за невыполнение требований, регулирующих обработку и защиту персональных данных.
1.4. В соответствии с п.2 ст.18.1 ФЗ «О персональных данных»: доступ к настоящему документу не может быть ограничен.
2 ОБРАБАТЫВАЕМЫЕ ПЕРСОНАЛЬНЫЕ ДАННЫЕ
2.1 Понятия и определения
Персональные данные (ПД) – любая информация, любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
2.2 Субъекты персональных данных
3.1. Учреждение обрабатывает ПД следующих категорий субъектов ПД:
- Работника;
- Пациентов;
- Законных представителей пациентов.
2.3 Цели обработки ПД:
2.3.1. Обработка ПД работников осуществляется исключительно в следующих целях:
- Обеспечения соблюдения норм и законодательства о государственной социальной помощи, трудового законодательства, законодательства Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
- Содействия работникам в трудоустройстве, обучении и продвижении по службе, контроля количества и качества выполняемой работы; обеспечения личной безопасности работников, обеспечения сохранности имущества.
2.3.2. Обработка ПД пациентов и близких родственников (законных представителей) осуществляется исключительно в следующих целях:
- оказания медицинских услуг;
- поддержание здоровья пациента;
- контроль качества оказания медицинской помощи.
2.4 Состав обрабатываемых персональных данных
- ПД работников:
o первичные сведения (Ф. И. О., дата, год и место рождения, адрес прописки / фактического места проживания, семейное положение, состав семьи, контактные номера телефонов);
o сведения о документе, удостоверяющем личность (серия, номер, дата, кем и когда выдан);
o реквизиты (ИНН, СНИЛС, медицинский полис и др.);
o сведения об образовании (уровень образования, наименование образовательного учреждения, сведения о документах, подтверждающих образование и (наименование/№/дата выдачи), специальность по диплому, квалификация по диплому, №/дата выдачи удостоверения о дополнительном образовании, специальность);
o сведения о трудовой деятельности (трудовой стаж, места работы/должности/периоды работы/причины увольнения, сведения о трудовой книжке (№/серия/дата выдачи/записи в ней), должность, табельный номер, сведения о командировках/отпусках, сведения о повышении квалификации/переподготовке/аттестации (серия/№/дата выдачи подтверждающего документа), сведения о социальных льготах, специальные знания/специальная подготовка, данные о трудовом договоре (№/условия/гарантии)); сведения о поощрениях и наградах;
o бухгалтерские сведения (тарифная ставка (оклад), надбавка);
o сведения о состоянии на воинском учете;
o медицинские сведения (сведения о медосмотрах).
- ПД пациентов;
o первичные сведения (Ф. И. О., пол, дата и год рождения, адрес прописки / фактического места проживания, семейное положение, состав семьи, контактные номера телефонов);
o сведения о документе, удостоверяющем личность (серия, номер, дата, кем и когда выдан);
o сведения из свидетельства о рождении;
o должность;
o реквизиты (СНИЛС, медицинский полис и др.);
o медицинские сведения.
- ПД пациентов и их близких родственников (законных представителей);
o первичные сведения (Ф. И. О., пол, дата и год рождения, адрес прописки / фактического места проживания, семейное положение, состав семьи, контактные номера телефонов);
o сведения о документе, удостоверяющем личность (серия, номер, дата, кем и когда выдан);
o сведения о документах, подтверждающих полномочия законного представителя;
o сведения из свидетельства о рождении;
o должность;
o реквизиты документов.
Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются для установления личности субъекта персональных данных Учреждением не обрабатываются.
3 ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1 Общие сведения
3.1.1. Учреждение в своей деятельности обеспечивает соблюдение принципов обработки ПД, определенных ст.5 ФЗ «О персональных данных».
3.1.2. Обработка Учреждением ПД субъектов ПД осуществляется как с использованием средств вычислительной техники (автоматизированная обработка), так и без использования таких средств (неавтоматизированная обработка), с передачей по сети Интернет.
3.1.3. ПД субъектов ПД используются Учреждением в соответствии с теми целями, для которых они собираются.
3.1.4. Обработка ПД осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления и уничтожения ПД.
3.2 Сбор
3.1.5. ПД субъектов ПД Учреждение получает напрямую от субъектов ПД или их законных представителей.
3.1.6. В случае возникновения необходимости получения ПД субъекта ПД от третьей стороны, Учреждение извещает об этом субъекта ПД заранее и сообщает ему о целях, предполагаемых источниках и способах получения ПД.
3.1.7. Для получения ПД субъекта ПД от третьей стороны Учреждение сначала получает его письменное согласие.
3.3 Хранение
3.1.8. Учреждение хранит ПД и их материальные носители в порядке, исключающем их утрату, неправомерное использование или несанкционированный доступ к ним.
3.1.9. Учреждение хранит ПД субъектов ПД и их материальные носители не дольше, чем этого требуют цели их обработки и требования действующего законодательства Российской Федерации, и уничтожает их по истечению установленных сроков хранения.
3.1.10. Сроки хранения документов, содержащих ПД субъектов ПД, а также сроки хранения сведений, содержащих ПД субъектов ПД в электронном виде (электронные документы, записи баз данных) определяются Перечнем обрабатываемых ПД в соответствии с приказом Министерства культуры РФ от 25 августа 2010 г. № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», номенклатурой дел, сроком исковой давности, а также иными требованиями законодательства Российской Федерации.
3.1.11. При обработке ПД на бумажных носителях Учреждением обеспечивается выполнение требований «Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденного постановлением Правительства РФ от 15 сентября 2008 г. № 687.
3.1.12. При обработке ПД на машинных носителях или в информационных системах персональных данных (далее – ИСПД) Учреждением обеспечивается выполнение «Требований к защите персональных данных при их обработке в информационных системах персональных данных», утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.
3.4 Передача ПД
3.1.13. В целях соблюдения законодательства Российской Федерации, для достижения указанных в п.2.3 настоящей Политики целей обработки ПД, а также в интересах субъектов ПД, Учреждение в ходе своей деятельности предоставляет ПД субъектов ПД следующим организациям:
- Пенсионному фонду России;
- Государственным и муниципальным органам управления;
- Федеральному органу исполнительной власти в области образования;
- Медицинским учреждениям;
- Военкомату;
- Правоохранительным органам;
- Органам прокуратуры и ФСБ;
- Органам статистики.
3.5 Трансграничная передача ПД
3.1.14. Передача ПД на территорию иностранных государств, органам власти иностранных государств, иностранным физическим или юридическим лицам (трансграничная передача ПД) Учреждением не осуществляется.
3.6 Общедоступные источники ПД
3.1.15. Учреждением не осуществляет формирование общедоступных источников ПД (справочников, адресных книг), за исключением случаев, указанных в п.3.1.16 настоящей Политики.
3.1.16. В соответствии приказом Министерства здравоохранения РФ от 30 декабря 2014 г. № 956н «Об информации, необходимой для проведения независимой оценки качества оказания услуг медицинскими организациями, и требованиях к содержанию и форме предоставления информации о деятельности медицинских организаций, размещаемой на официальных сайтах Министерства здравоохранения Российской Федерации, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и медицинских организаций в информационно-телекоммуникационной сети Интернет», сведения (указанные в приказе) подлежат размещению на официальном сайте Учреждения в сети «Интернет» и обновлению в течение десяти дней со дня их создания, получения или внесения в них соответствующих изменений.
3.7 Поручение обработки ПД
3.1.17. Учреждение вправе поручить обработку ПД другому лицу с согласия субъекта ПД, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.
3.1.18. Учреждение самостоятельно осуществляет обработку ПД субъектов ПД и не поручает ее третьим лицам.
4 ПРАВА СУБЪЕКТОВ ПД
4.1. Субъект ПД имеет право на получение сведений об обработке его ПД Учреждением.
4.2. Субъект ПД вправе требовать от Учреждения уточнения своих ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
4.3. Субъекты ПД имеют право запрашивать у Учреждения следующие сведения:
- подтверждение факта обработки ПД Учреждением;
- правовые основания и цели обработки ПД;
- используемые Учреждением способы обработки ПД;
- наименование и адрес местонахождения Учреждения, сведения о лицах (за исключением работников Учреждения), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Учреждением или на основании федерального закона;
- обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки ПД, в том числе сроки их хранения;
- порядок осуществления субъектом ПД прав, предусмотренных законодательством Российской Федерации;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению Учреждения, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные законодательством Российской Федерации.
4.4. Право субъекта ПД на доступ к его ПД может быть ограничено в соответствии с федеральными законами.
4.5. Для реализации своих прав и защиты законных интересов (см. п.4.1-4.3 настоящей Политики), субъект ПД имеет право обратиться к Учреждению. Учреждение рассматривает любые обращения и жалобы со стороны субъектов ПД, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
4.6. Субъект ПД вправе обжаловать действия или бездействие Учреждения в уполномоченный орган по защите прав субъектов ПД (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), Управление по защите прав субъектов ПД) или в судебном порядке.
4.7. Субъект ПД имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
4.8. Субъект ПД имеет право в любое время отозвать свое согласие на обработку ПД, обратившись к Учреждению.
5 ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Учреждение гарантирует конфиденциальность ПД и предоставляет доступ к ним только уполномоченным работникам, подписавшим обязательство о неразглашении ПД.
5.2. Все работники Учреждения, имеющие доступ к ПД, соблюдают правила их обработки и выполняют требования по их защите.
5.3. Учреждение принимает все необходимые правовые, организационные и инженерно-технические меры, достаточные для защиты ПД от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ними со стороны третьих лиц.
5.4. Обеспечение ПД достигается в частности:
- назначением ответственных за организацию обработки и защиты ПД;
- осуществлением внутреннего контроля и (или) аудита соответствия обработки ПД ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПД, локальным актам;
- ознакомлением работников Учреждения, непосредственно осуществляющих обработку ПД, с положениями законодательства Российской Федерации о ПД, в том числе требованиями к защите ПД, локальными актами в отношении обработки ПД, и (или) обучением указанных работников.
- применением организационных и технических мер по обеспечению безопасности ПД при их обработке в ИСПД, необходимых для выполнения требований к защите ПД;
- оценкой эффективности принимаемых мер по обеспечению безопасности ПД до ввода в эксплуатацию ИСПД;
- учетом машинных носителей ПД;
- обнаружением фактов несанкционированного доступа к ПД и принятием мер;
- восстановлением ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечением регистрации и учета всех действий, совершаемых с ПД в ИСПД;
- контролем за принимаемыми мерами по обеспечению безопасности ПД.
6 КОНТАКТНАЯ ИНФОРМАЦИЯ
6.1 Учреждение
6.1.1. Ответственное лицо Учреждения за организацию обработки и защиты ПД: начальник отдела вычислительной техники – Трошева Дарья Андреевна.
6.1.2. Почтовый адрес: Республика Коми, г. Печора, ул. Печорский проспект, 16, 169600;
6.1.3. Электронная почта:pcrb-pr@yandex.ru;
6.1.4. Официальный сайт: www.crbpechora.ru;
6.1.5. Все вопросы и предложения по внесению изменений или дополнений в настоящую Политику следует направлять на имя ответственного за организацию обработки и защиты ПД по указанному выше контактному телефону, почтовому адресу или адресу электронной почты.
6.2 Территориальный орган Роскомнадзора по республике Коми
6.1.6. Руководитель Управления: Пименова Виктория Вячеславовна.
6.1.7. Почтовый адрес: 167981, Республика Коми, г. Сыктывкар, ул. Коммунистическая, 17.
6.1.8. Контактный телефон: (8212) 216-800.
6.1.9. Электронная почта: rsockanc11@rsoc.ru.
6.1.10. Официальный сайт: 11.rkn.gov.ru