УТВЕРЖДЕНА
приказом главного врача
ГБУЗ РК «Усинская ЦРБ»
от 21.07.2017 №201-р
г. Усинск
Введение
- Деятельность ГБУЗ РК «Усинская ЦРБ» (далее – Учреждение), невозможна без использования, хранения и передачи персональных данных различных категорий субъектов, включая работников, пациентов, доноров и индивидуальных предпринимателей. Персональные данные (далее – ПДн) являются конфиденциальной информацией и подлежат защите в соответствии с законодательством РФ.
- Обеспечение безопасности ПДн является одной из приоритетных задач Учреждения.
- Политика в отношении обработки ПДн определяет существующую и планируемую деятельность Учреждения, касающуюся обработки и обеспечения безопасности ПДн работников, пациентов, доноров и индивидуальных предпринимателей с целью обеспечения защиты прав и свобод человека и гражданина при обработке его ПДн, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
- Настоящая политика устанавливает ответственность должностных лиц Учреждения, имеющих доступ к ПДн, за невыполнение требований, регулирующих обработку и защиту ПДн.
- В соответствии с ч.2 ст.18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О ПДн» (далее – ФЗ «О ПДн»): доступ к настоящему документу не может быть ограничен.
1 Обрабатываемые персональные данные
2.1. Понятия и определения
ПДн – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (далее – субъекту ПДн).
Обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
2.2. Субъекты ПДн
Учреждение обрабатывает ПДн следующих категорий субъектов ПДн:
- работников;
- пациентов;
- доноров;
- индивидуальных предпринимателей.
2.3. Цели обработки ПДн
- Обработка ПДн работников осуществляется исключительно в следующих целях:
- ведения бухгалтерского учета в Учреждении;
- исполнения трудового договора и осуществление прав и обязанностей в соответствии с законодательством РФ;
- ведения кадрового делопроизводства в Учреждении;
- организации процесса работы персонала.
- Обработка ПДн пациентов осуществляется исключительно в следующих целях:
- оказание медицинских услуг пациентам;
- ведение статистик больных;
- выписка рецептов;
- проведение анализов;
- регистрации пациентов;
- вакцинопрофилактика.
- Обработка ПДн доноров осуществляется исключительно с целью работы с донорами крови.
- Обработка ПДн индивидуальных предпринимателей осуществляется исключительно с целью заключения договоров со сторонними организациями.
2.4. Состав обрабатываемых ПДн
- ПДн работников: первичные сведения, сведения об образовании; сведения о трудовой деятельности; бухгалтерские сведения; медицинские сведения.
- ПДн пациентов: первичные сведения, сведения о трудовой деятельности, бухгалтерские сведения, сведения об образовании, медицинские сведения, дополнительные сведения.
- ПДн доноров: первичные сведения, сведения о трудовой деятельности.
- ПДн индивидуальных предпринимателей: первичные сведения.
- Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические ПДн) и которые используются для установления личности субъекта ПДн Учреждением не обрабатываются.
3 Обработка ПДн
3.1. Общие сведения
- Учреждение в своей деятельности обеспечивает соблюдение принципов обработки ПДн, определенных ст.5 ФЗ «О ПДн».
- Обработка Учреждением ПДн субъектов ПДн осуществляется как с использованием средств вычислительной техники (автоматизированная обработка), так и без использования таких средств (неавтоматизированная обработка), с передачей по внутренней сети Учреждения и по сети Интернет.
- ПДн субъектов ПДн используются Учреждением в соответствии с теми целями, для которых они собираются.
- Обработка ПДн осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления и уничтожения ПДн.
3.2. Сбор
- ПДн субъектов ПДн Учреждение получает напрямую от субъектов ПДн или их законных представителей.
- В случае возникновения необходимости получения ПДн субъекта ПДн от третьей стороны, Учреждение извещает об этом субъекта ПДн заранее и сообщает ему о целях, предполагаемых источниках и способах получения ПДн.
- Для получения ПДн субъекта ПДн от третьей стороны Учреждение сначала получает его письменное согласие.
3.3. Хранение
- Учреждение хранит ПДн и их материальные носители в порядке, исключающем их утрату, неправомерное использование или несанкционированный доступ к ним.
- Учреждение хранит ПДн субъектов ПДн и их материальные носители не дольше, чем этого требуют цели их обработки и требования действующего законодательства РФ, и уничтожает их по истечению установленных сроков хранения.
Сроки хранения документов, содержащих ПДн субъектов ПДн, а также сроки хранения сведений, содержащих ПДн субъектов ПДн в электронном виде (электронные документы, записи баз данных) определяются Перечнем обрабатываемых ПДн в соответствии с приказом Министерства культуры РФ от 25 августа 2010 г. № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», и приказом Минздрава СССР от 04.10.1980 г. «Об утверждении форм первичной медицинской документации учреждений здравоохранения» действующем на основании письма Минздравсоцразвития РФ от 30.11.2009 N 14-6/242888, а также номенклатурой дел, сроком исковой давности, а также иными требованиями законодательства РФ.
- При обработке ПДн на бумажных носителях Учреждением обеспечивается выполнение требований «Положения об особенностях обработки ПДн, осуществляемой без использования средств автоматизации», утвержденного постановлением Правительства РФ от 15 сентября 2008 г. № 687.
- При обработке ПДн на машинных носителях или в информационных системах ПДн (далее – ИСПДн) Учреждением обеспечивается выполнение «Требований к защите ПДн при их обработке в ИСПДн», утвержденных постановлением Правительства РФ от 1 ноября 2012 г. № 1119.
3.4. Передача ПДн
- В целях соблюдения законодательства РФ, для достижения указанных в п.3 настоящей политики целей обработки ПДн, а также в интересах субъектов ПДн, Учреждение в ходе своей деятельности предоставляет ПДн субъектов ПДн следующим организациям:
- Пенсионному фонду России;
- Фонду социального страхования;
- Федеральной налоговой службы;
- Страховым организациям;
- Федеральный фонд обязательного медицинского страхования;
- ГБУЗ РК Республиканское бюро медицинской статистики;
- Управление Федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека по Республике Коми;
- Центр Гигиены и Эпидемиологии В Республике Коми;
- Республиканский Центр по профилактике и борьбе со СПИДом и инфекционными заболеваниями;
- Министерство здравоохранения Республики Коми;
- правоохранительные органы;
- суды;
- прокуратура;
- банки.
3.5. Трансграничная передача ПДн
- Передача ПДн на территорию иностранных государств, органам власти иностранных государств, иностранным физическим или юридическим лицам (трансграничная передача ПДн) Учреждением не осуществляется.
3.6. Общедоступные источники ПДн
- Учреждением не осуществляет формирование общедоступных источников ПДн (справочников, адресных книг).
- Сведения о работниках Учреждения, в том числе, сведения об Учреждении, подлежат публикации на официальном сайте Учреждения в сети «Интернет» и (или) обновлению в течение десяти дней со дня их создания, получения или внесения в них соответствующих изменений.
3.7. Поручение обработки ПДн
- Учреждение вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.
4 Права субъектов ПДн
- Субъект ПДн имеет право на получение сведений об обработке его ПДн Учреждением.
- Субъект ПДн вправе требовать от Учреждения уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
- Субъекты ПДн имеют право запрашивать у Учреждения следующие сведения:
- подтверждение факта обработки ПДн Учреждением;
- правовые основания и цели обработки ПДн;
- используемые Учреждением способы обработки ПДн;
- наименование и адрес местонахождения Учреждения, сведения о лицах (за исключением работников Учреждения), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Учреждением или на основании федерального закона;
- обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки ПДн, в том числе сроки их хранения;
- порядок осуществления субъектом ПДн прав, предусмотренных законодательством РФ;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Учреждения, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные законодательством РФ.
- Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами.
- Для реализации своих прав и защиты законных интересов (см. п.1-4.3 настоящей политики), субъект ПДн имеет право обратиться к Учреждению. Учреждение рассматривает любые обращения и жалобы со стороны субъектов ПДн, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
- Субъект ПДн вправе обжаловать действия или бездействие Учреждения в уполномоченный орган по защите прав субъектов ПДн (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), Управление по защите прав субъектов ПДн) или в судебном порядке.
- Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
- Субъект ПДн имеет право в любое время отозвать свое согласие на обработку ПДн, обратившись к Учреждению.
5 Защита ПДн
- Учреждение гарантирует конфиденциальность ПДн и предоставляет доступ к ним только уполномоченным работникам, подписавшим обязательство о неразглашении ПДн.
- Все работники Учреждения, имеющие доступ к ПДн, соблюдают правила их обработки и выполняют требования по их защите.
- Учреждение принимает все необходимые правовые, организационные и инженерно-технические меры, достаточные для защиты ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ними со стороны третьих лиц.
- Обеспечение ПДн достигается в частности:
- назначением ответственных за организацию обработки и защиты ПДн;
- осуществлением внутреннего контроля и (или) аудита соответствия обработки ПДн ФЗ «О ПДн» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, локальным актам;
- ознакомлением работников Учреждения, непосредственно осуществляющих обработку ПДн, с положениями законодательства РФ о ПДн, в том числе требованиями к защите ПДн, локальными актами в отношении обработки ПДн, и (или) обучением указанных работников.
- применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн;
- оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
- учетом машинных носителей ПДн;
- обнаружением фактов несанкционированного доступа к ПДн и принятием мер;
- восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
- контролем за принимаемыми мерами по обеспечению безопасности ПДн.
6 Контактная информация
6.1. Сведения об Учреждении:
- Ответственное лицо Учреждения за организацию обработки и защиты ПДн – Елена Владимировна Якименко
- Почтовый адрес: 169710 Республика Коми г. Усинск, Больничный проезд, 2.
- Контактный телефон: 8(82144) 41-5-99.
- Электронная почта: acybol@yandex.ru.
- Официальный сайт: http://usinskcrb.ru.
- Все вопросы и предложения по внесению изменений или дополнений в настоящую политику следует направлять на имя ответственного за организацию обработки и защиты ПДн по указанному выше контактному телефону, почтовому адресу или адресу электронной почты.
6.2. Сведения о территориальном органе Роскомнадзора по Республике Коми.
- Руководитель Управления: Пименова Виктория Вячеславовна.
- Почтовый адрес: 167981, Республика Коми, г. Сыктывкар, ул. Коммунистическая, 17.
- Контактный телефон: (8212) 216-800.
- Электронная почта: rsockanc11@rsoc.ru.
- Официальный сайт: 11.rkn.gov.ru.