ПОЛОЖЕНИЕ об обработке и обеспечению защиты персональных данных в государственном автономном учреждении здравоохранения города Москвы «Стоматологическая поликлиника № 62» Департамента здравоохранения города Москвы

1.Общие положения

1.1. Положение об обработке и обеспечению защиты персональных данных (далее – Положение) является локальным правовым актом государственного автономного учреждения здравоохранения города Москвы «Стоматологическая поликлиника №62» Департамента здравоохранения города Москвы (далее – организация).

1.2. Целью реализации настоящего Положения является определение требований к порядку обработки и обеспечению безопасности персональных данных при их обработке с использованием средств автоматизации или без использования таких средств.

1.3. Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, , Гражданским кодексом Российской Федерации, Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Федеральным законом от 21 июля 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», указом Президента РФ от 6 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера», постановлением Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; Правилами внутреннего трудового распорядка

1.4. Организация обрабатывает персональные данные следующих категорий субъектов:

1.4.1. соискателей и работников, в целях соблюдения требований законодательства, содействия в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

1.4.2. физических лиц, трудовые отношения с которыми были прекращены, в целях соблюдения требований действующего законодательства;

1.4.3. посетителей, в целях выполнения мероприятий по обеспечению их пропуска на территорию организации и ее структурных подразделений;

1.4.4. пациентов, в целях оказания скорой и неотложной медицинской помощи и ведения медицинской документации по утвержденным формам Министерства здравоохранения Российской Федерации;

1.4.5. лиц, совершающих обращение в медицинскую организацию для оказания плановой и неотложной медицинской помощи;

1.4.6. физических лиц, обратившихся за получением медицинской помощи.

1.5. Специальные категории персональных данных, касающиеся состояния здоровья (обрабатываются в соответствии с требованиями федеральных законов «О персональных данных» и «Об основах охраны здоровья граждан в Российской Федерации»);

1.6. Иные специальные категории персональных данных и биометрические персональные данные обрабатываются в соответствии с требованиями законодательства Российской Федерации.

1.7. Настоящее Положение распространяется на:

1.7.1. работников медицинской организации, которые в силу должностных обязанностей имеют доступ к персональным данным, обрабатываемым в учреждении;

1.7.2. лиц, работающих по гражданско-правовым договорам, предусматривающим передачу и предоставление доступа к персональным данным, обрабатываемым в организации;

1.7.3. представителей внешних организаций, работающих по договорам, предусматривающим передачу или предоставление доступа к персональным данным, обрабатываемым в организации;

1.7.4. физическое лицо, которому оказывается медицинская помощь или которое обратилось за оказанием медицинской помощи независимо от наличия у него заболевания и его состояния.

1.8. Настоящее Положение вступает в силу с момента его утверждения Главным врачом и действует бессрочно, до замены его новым Положением.

1.9. По предмету регулирования настоящее Положение охватывает все аспекты деятельности медицинской организации, касающиеся обращения персональных данных, как в самой организации, так и в ее структурных подразделениях.

1.10. Действие настоящего Положения не распространяется на отношения, возникающие при обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

2.Основные понятия и состав персональных данных работников

2.1. В настоящем Положении используются следующие понятия:

2.1.1. работник - физическое лицо, вступившее в трудовые отношения;

2.1.2. персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2.1.3. субъект персональных данных - физическое лицо, определенное или определяемое на основании информации, к нему относящейся;

2.1.4. обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

2.1.5. автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

2.1.6. неавтоматизированная обработка персональных данных - обработка персональных данных, осуществляемая при непосредственном участии человека без использования средств вычислительной техники;

2.1.7. передача персональных данных - любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств, представляющих собой доступ, распространение, предоставление персональных данных;

2.1.8. распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

2.1.9. блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

2.1.10. уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе и (или) в результате которых уничтожаются материальные носители;

2.1.11. конфиденциальность персональных данных - обязательное для соблюдения требование не раскрывать третьим лицам персональные данные и не допускать их распространение без согласия субъектов персональных данных или наличия иного законного основания;

2.1.12. безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных;

2.1.13. защита персональных данных - деятельность, включающая принятие правовых, организационных и технических мер, направленных на обеспечение защиты от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных;

2.1.14. режим защиты персональных данных - нормативно установленные правила, определяющие ограничения доступа к персональным данным, порядок передачи и условия их хранения;

2.1.15. специальные категории персональных данных - персональные данные субъектов персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни и судимости;

2.1.16. биометрические персональные данные - сведения, характеризующие физиологические и биологические особенности субъекта персональных данных, которые используются оператором для установления личности субъекта персональных данных.

2.2. Информация, представляемая работником при поступлении на работу, должна иметь документальную форму.

2.3. . В организации создаются и хранятся следующие группы документов, содержащие данные о субъекте (работнике) в единичном или сводном виде:

2.3.1. документы, содержащие персональные данные работников (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; комплекс материалов по анкетированию, тестированию; проведению собеседований с кандидатом на должность; подлинники и копии приказов по личному составу; личные дела и трудовые книжки работников; дела, содержащие основания к приказу по личному составу; дела, содержащие материалы аттестации работников; служебных расследований; справочно-информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству, руководителям структурных подразделений; копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения).

2.3.2. документация работы структурных подразделений по планированию, учету, анализу и отчетности в части работы с персоналом;

2.3.3. документация работы с персональными данными посетителей, формируемый охранным подразделением;

2.3.4. перечень персональных данных пациентов, формируемых в процессе ведения медицинской документации и оказание медицинской помощи.

3.Сбор, обработка и защита персональных данных

3.1. Порядок получения персональных данных.

3.2. Все персональные данные субъекта (работника) организации следует получать у него самого. Если персональные данные субъекта (работника) возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Должностное лицо работодателя должно сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта (работника) дать письменное согласие на их получение.

3.3. Работодатель не имеет права получать и обрабатывать персональные данные субъекта (работника) о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни субъекта (работника) только с его письменного согласия.

3.4. Обработка указанных персональных данных работников работодателем возможна только с их согласия либо без их согласия в следующих случаях:

3.4.1. персональные данные являются общедоступными;

3.4.2. персональные данные относятся к состоянию здоровья субъекта (работника) и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта (работника) невозможно;

3.4.3. по требованию полномочных государственных органов в случаях, предусмотренных федеральным законом.

3.5. Работодатель вправе обрабатывать персональные данные работников только с их письменного согласия.

3.6. Письменное согласие субъекта (работника) на обработку своих персональных данных должно включать в себя:

3.6.1. фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

3.6.2. наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

3.6.3. цель обработки персональных данных;

3.6.4. перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

3.6.5. перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

3.6.6. срок, в течение которого действует согласие, а также порядок его отзыва.

3.7. Согласие субъекта (работника) не требуется в следующих случаях:

3.7.1. обработка персональных данных осуществляется на основании Трудового кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия работодателя;

3.7.2. обработка персональных данных осуществляется в целях исполнения трудового договора;

3.7.3. обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

3.7.4. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта (работника), если получение его согласия невозможно.

3.8. Работник предоставляет работнику отдела кадров достоверные сведения о себе. Работник отдела кадров проверяет достоверность сведений, сверяя данные, предоставленные работником, с имеющимися у субъекта (работника) документами.

3.9. В целях обеспечения прав и свобод человека и гражданина при обработке персональных данных субъекта (работника) должны соблюдать следующие общие требования:

3.9.1. обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия субъекту (работнику) в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

3.9.2. при определении объема и содержания, обрабатываемых персональных данных Работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами;

3.9.3. при принятии решений, затрагивающих интересы субъекта (работника), Работодатель не имеет права основываться на персональных данных субъекта (работника), полученных исключительно в результате их автоматизированной обработки или электронного получения;

3.9.4. защита персональных данных субъекта (работника) от неправомерного их использования или утраты обеспечивается Работодателем за счет его средств в порядке, установленном федеральным законом;

3.10. При использовании для неавтоматизированного сбора или уточнения персональных данных типовых форм документов соблюдаются следующие условия.

3.10.1. типовая форма (анкеты, заявления, заявки и другие шаблонные документы, подразумевающие включение персональных данных) или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, наименование и адрес, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых способов обработки персональных данных;

3.10.2. типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных;

3.10.3. типовая форма должна быть составлена таким образом, чтобы каждый из субъектов, персональные данные которого содержатся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

3.10.4. типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы;

3.10.5. При ведении на документации по допуску на территорию посетителей, должны соблюдаться условия - персональные данные каждого субъекта персональных данных могут заноситься в такую документацию не более одного раза в каждом случае пропуска посетителя на территорию.

3.11. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе. Если это не допускается техническими особенностями материального носителя, то уточнение производится путем фиксации на том же материальном носителе сведений о вносимых в персональные данные изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

3.12. Работники и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

4.Передача и хранение персональных данных

4.1. При передаче персональных данных субъекта (работника) должны соблюдаться следующие требования:

4.1.1. не сообщать персональные данные субъекта (работника) третьей стороне без письменного согласия субъекта (работника), за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта (работника), а также в случаях, установленных федеральным законом;

4.1.2. не сообщать персональные данные субъекта (работника) в коммерческих целях без его письменного согласия. Обработка персональных данных субъекта (работника) в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия;

4.1.3. предупредить лиц, получивших персональные данные субъекта (работника), о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные субъекта (работника), обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен персональными данными субъекта (работника) в порядке, установленном федеральными законами;

4.1.4. осуществлять передачу персональных данных субъекта (работника) в пределах в соответствии с настоящим Положением;

4.1.5. разрешать доступ к персональным данным субъекта (работника) только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные субъекта (работника), которые необходимы для выполнения конкретной функции;

4.1.6. запрашивать информацию о состоянии здоровья работника в том случае, когда необходимо подтвердить возможность выполнения работником трудовой функции.

4.1.7. передавать персональные данные субъекта (работника) представителям субъекта (работника) в порядке, установленном Трудовым кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными субъекта (работника), которые необходимы для выполнения указанными представителями их функции;

4.1.8. факты передачи персональных данных должны регистрироваться в журнале учета передачи персональных данных.

4.2. Персональные данные работников обрабатываются и хранятся в отделе кадров.

4.3. Персональные данные субъекта (работника) обрабатываются как на бумажных носителях, так и в электронном виде по локальной компьютерной сети с применением специализированного программного обеспечения.

4.4. При получении персональных данных не от субъекта (работника) (за исключением случаев, если персональные данные были предоставлены работодателю на основании федерального закона или если персональные данные являются общедоступными) работодатель до начала обработки таких персональных данных обязан предоставить субъекту (работнику) следующую информацию:

4.4.1. наименование (фамилия, имя, отчество) и адрес оператора или его представителя;

4.4.2. цель обработки персональных данных и ее правовое основание;

4.4.3. предполагаемые пользователи персональных данных;

4.4.4. установленные настоящим Федеральным законом права субъекта персональных данных.

4.5. Персональные данные хранятся в форме, позволяющей идентифицировать субъекта персональных данных.

4.6. Материальные носители, содержащие персональные данные, хранятся в служебных помещениях в запираемых шкафах или сейфах. При этом соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

4.7. Срок хранения персональных данных определяется целями обработки персональных данных.

5.Доступ к персональным данным субъектов.

5.1. Право доступа к персональным данным субъектов, обрабатываемых в организации, без специального разрешения имеют:

5.1.1. Главный врач (или лицо его замещающее) – в общем порядке.

5.1.2. Заместитель главного врача – в общем порядке.

5.1.3. Начальник отдела кадров – в общем порядке.

5.1.4. Заместитель главного врача с возложением обязанностей по руководству региональным объединением, заведующие, начальники структурных подразделений – в отношении персональных данных работников, числящихся в соответствующих структурных подразделениях – в целях уточнения и конкретизации ранее переданных персональных данных.

5.1.5. Сотрудники отдела кадров - в целях уточнения и конкретизации ранее переданных персональных данных.

5.1.6. Сотрудники бухгалтерии - в целях уточнения и конкретизации ранее переданных персональных данных.

5.2. Работники имеют право получать доступ в информационную систему персональных данных (далее – ИСПДн) или к материальным носителям, содержащим только те персональные данные, которые необходимы им для выполнения возложенных на них трудовых обязанностей.

5.3. Запросы на получение персональных данных, содержащихся в ИСПДн, а также факты предоставления персональных данных по этим запросам, регистрируются программным обеспечением информационных систем в электронном журнале обращений. Содержание электронного журнала обращений проверяется с использованием системы мониторинга событий информационной безопасности.

5.4. Субъекты персональных данных имеют право на:

5.4.1. полную информацию о своих персональных данных, обрабатываемых организацией;

5.4.2. доступ к своим персональным данным, включая право на получение копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральными законами;

5.4.3. уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

5.4.4. дополнение своих персональных данных оценочного характера заявлением, выражающим собственную точку зрения;

5.4.5. извещение всех лиц, которым ранее были сообщены их неверные или неполные персональные данные, обо всех произведенных в них исправлениях или дополнениях;

5.4.6. отзыв согласия на обработку своих персональных данных;

5.4.7. обжалование в соответствии с законодательством Российской Федерации неправомерных действий при обработке персональных данных;

5.4.8. осуществление иных прав, предусмотренных законодательством Российской Федерации.

5.5. Субъекты персональных данных обязаны:

5.5.1. предоставить свои персональные данные в соответствии с законодательством Российской Федерации и настоящим Положением;

5.5.2. своевременно информировать об изменениях своих персональных данных;

5.6. Копировать и делать выписки персональных данных работника разрешается исключительно в служебных целях с письменного разрешения начальника отдела кадров.

5.7. Организация обязана принимать следующие необходимые и достаточные меры для выполнения обязанностей оператора, предусмотренных законодательством Российской Федерации:

5.7.1. назначать ответственное лицо за организацию обработки персональных данных;

5.7.2. издавать документы, определяющие политику в отношении обработки персональных данных, нормативные документы по вопросам обработки персональных данных, а также нормативные документы, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации и устранение последствий таких нарушений;

5.7.3. применять правовые, организационные и технические меры для защиты персональных данных субъектов персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;

5.7.4. разъяснять субъектам персональных данных юридические последствия отказа предоставить их персональные данные, если предоставление персональных данных является обязательным в соответствии с законодательством Российской Федерации;

5.7.5. блокировать неправомерно обрабатываемые персональные данные, прекращать обработку персональных данных в соответствии с законодательством Российской Федерации;

5.7.6. уведомлять субъектов персональных данных об устранении допущенных нарушений при обработке их персональных данных;

5.7.7. представлять субъектам персональных данных по их просьбе или их представителям информацию, касающуюся обработки их персональных данных, в порядке, установленном законодательством Российской Федерации;

5.7.8. осуществлять внутренний контроль соответствия обработки персональных данных законодательству Российской Федерации о персональных данных, требованиям к защите персональных данных;

5.7.9. проводить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации о персональных данных, соотношения указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством Российской Федерации в области обработки и защиты персональных данных.

6.Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

6.1. Лица, виновные в нарушении законодательства Российской Федерации и нормативных документов в области обработки и защиты персональных данных, несут предусмотренную законодательством Российской Федерации ответственность.

6.2. Моральный вред, причиненный субъектам персональных данных вследствие нарушения их прав, правил обработки персональныах данных, а также требований к защите персональных данных, установленных законодательством Российской Федерации и нормативными документами в области обработки и защиты персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации.

Поделиться: