Утверждаю Главный врач ГБУЗ
«Городская больница №3 г. Коркино»
Селютин В.А. 20 января 2018 года
Политика в области обработки и защиты персональных данных
1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных (далее-Политика) составлена в соответствии с п.2 ст. 18.1. ФЗ№152 от 27 июля 2006г «О персональных данных» и является основополагающим внутренним регулятивным документом ГБУЗ «Городская больница №3 г. Коркино» (далее –Организация или Оператор), определяющим ключевые направления его деятельности в области обработки и защиты персональных данных (далее ПДн), Оператором которого является Организация.
1.2. Настоящая политика в области обработки и защиты персональных данных в Организации характеризуется следующими признаками:
1.2.1. Разработана в целях обеспечения реализации требований законодательства РФ в области обработки персональных данных субъектов персональных данных.
1.2.2. Раскрывает основные категории персональных данных, обрабатываемых Оператором, цели, способы и принципы обработки Оператором персональных данных, права и обязанности Оператора при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности персональных данных при их обработке.
1.2.3. Является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке персональных данных.
1.3 Положения Политики распространяются на отношения по обработке и защите ПДн, полученных Организацией как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите ПДн, полученных до ее утверждения.
2. Правовые основания обработки персональных данных
2.1. Политика Оператора в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами РФ:
2.1.1. Конституцией Российской Федерации.
2.1.2. Трудовым кодексом Российской Федерации.
2.1.3. Гражданским кодексом Российской Федерации.
2.1.4. Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
2.1.5. Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
2.1.6. Федеральным законом от 29.11.2010 N 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации».
2.1.7. Постановлением правительства Российской Федерации» от 15 сентября 2008 года №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
2.1.8. Постановлением Правительства РФ от 1 ноября 2012 года №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
2.1.9. Федеральным законом от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
2.1.10 Иными нормативными актами Российской Федерации
2.1.11 Кроме того, обработка ПДн в Организации осуществляется в ходе трудовых и иных, непосредственно связанных с ними отношений, в которых Организация выступает в качестве работодателя (глава 14 Трудового Кодекса РФ), в связи с реализацией Организацией своих прав и обязанностей, как юридического лица.
2.2 Организация имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.
2.3 Действующая редакция хранится в месте нахождения Организации по адресу: 456543 Челябинская область, г. Коркино, поселок Роза ул. 50 лет Октября , 6, Главный корпус , приемная; электронная версия Политики - на сайте по адресу: gbroza74.ru
2.4. Во исполнение настоящей Политики руководителем Оператора утверждены следующие локальные нормативные правовые акты:
2.4.1. Приказ «Об утверждении Положения об организации и проведении работ по обеспечению безопасности персональных данных обрабатываемых в информационных системах персональных данных и/или без использования средств автоматизации» в ГБУЗ «Городская больница №3 г. Коркино»
3. Основные понятия, используемые в настоящем документе
3.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
3.2. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3.3. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожении персональных данных;
3.4. Автоматизированная обработка персональных данных– обработка персональных данных с помощью средств вычислительной техники;
3.5. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
3.6. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
3.7. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
3.8. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
3.9. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
4. Цели обработки персональных данных
4.1. Оператор обрабатывает персональные данные исключительно в следующих целях:
4.1.1. Исполнения положений нормативных актов, указанных в п. 2.
4.1.2. Выполнение обязательств по трудовым договорам, договорам гражданско-правового характера и договорам со сторонними организациями.
4.1.3. Исполнение законов РФ, постановлений правительства, постановлений Министерства здравоохранения РФ.
5. Категории обрабатываемых персональных данных.
5.1. В информационных системах персональных данных Оператора обрабатываются следующие категории персональных данных:
5.1.1. Персональные данные сотрудников ГБУЗ «Городская больница №3 г. Коркино»
- фамилия, имя, отчество;
- дата, месяц, год рождения;
- паспортные данные
- адрес регистрации;
- адрес фактического проживания;
- номер ИНН
- номер страхового пенсионного свидетельства
- справка о прохождении медицинского осмотра;
- о составе семьи работника
- данные военного билета (у военнообязанных);
- иные сведения, относящиеся к персональным данным сотрудника
5.1.2. Персональные данные физических лиц (пациентов):
- фамилия, имя, отчество;
- дата, месяц, год рождения;
- паспортные данные;
- данные пенсионного удостоверения;
- адрес регистрации;
- адрес фактического проживания;
- данные относящиеся к состоянию здоровья;
- заключительный диагноз;
- перенесенные заболевания;
- антропометрические данные;
- семейное положение;
- место работы, должность;
- номер страхового пенсионного свидетельства;
- данные электронной почты;
- контактный телефон;
- данные близких родственников;
- социальное положение
6. Основные принципы обработки, передачи и хранения персональных данных
6.1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в ст. 5 Федерального закона 152-ФЗ «О персональных данных».
6.2. Оператор не осуществляет обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).
6.3. Оператор не производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.
6.4. Персональные данные, сообщаемые субъектом (фамилия, имя, отчество, дату рождения, адрес и др.), обрабатываются только с письменного согласия субъекта персональных данных.
6.5. Оператор вправе передавать персональные данные, сообщаемые субъектом, третьим лицам в случаях, предусмотренных законодательством РФ в области защиты персональных данных.
7. Меры по обеспечению безопасности персональных данных при их обработке
7.1. Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:
7.1.1. Назначением ответственных за организацию обработки персональных данных.
7.1.2. Осуществлением внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных».
7.1.3. Ознакомлением работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных.
7.1.4. Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
7.1.5. Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных.
7.1.6. Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.
7.1.7. Выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер.
7.1.8. Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
7.1.9. Контролем над принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.
7.2. Обязанности должностных лиц, осуществляющих обработку и защиту персональных данных, а также их ответственность, определяются в Приказе «Об организации работы по обработке и защите персональных данных в ГБУЗ «Городская больница №3 г. Коркино»
8. Права субъектов персональных данных
8.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Оператором.
8.2. Субъект персональных данных вправе требовать от Оператора, который их обрабатывает, уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
8.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с Федеральными законами.
9. Прекращение обработки персональных данных оператором
9.1. В случае прямого отказа пациента от услуг учреждения, выраженного в письменной форме, либо по истечении 25 лет с момента последней перерегистрации пациента, ГБУЗ «Городская больница №3 г. Коркино» прекращает обработку его персональных данных, уничтожает бумажные носители информации о персональных данных пациента. Уничтожение персональных данных производится Учреждением при условии при окончании срока хранения медицинской документации.
9.2. Обработка персональных данных сотрудника прекращается, после расторжения трудового договора, после чего личное дело сотрудника передается в архив Учреждения, где хранится 75 лет.
10. Уничтожение документов (носителей)
10.1 Уничтожение документов (носителей), содержащих ПДн производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
10.2 ПДн на электронных носителях уничтожаются путем стирания или форматирования носителя.
10.3 Уничтожение производится комиссией. Факт уничтожения ПДн подтверждается документально актом об уничтожении носителей, подписанным членами комиссии
11. Организация передает ПДн третьим лицам в следующих случаях
11.1 Субъект выразил свое согласие на такие действия;
11.2 Передача предусмотрена российским законодательством.
11.3 Перечень лиц, которым передаются ПДн
- Пенсионный фонд РФ для учета (на законных основаниях);
- Налоговые органы РФ (на законных основаниях);
- Фонд социального страхования (на законных основаниях);
- Территориальный фонд обязательного медицинского страхования (на законных основаниях);
- Страховые медицинские организации по добровольному медицинскому страхованию (на законных основаниях);
- Банки для начисления заработной платы (на основании договора);
- Судебные и правоохранительные органы в случаях, установленных законодательством;
- Бюро кредитных историй (с согласия субъекта);
- Юридические фирмы, работающие в рамках законодательства РФ, при неисполнении обязательств по договору займа (с согласия субъекта).
12. Изменение политики
ГБУЗ «Городская больница №3 г. Коркино» оставляет за собой право вносить необходимые изменения в политику при изменении действующего законодательства РФ.
ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ ЗДРАВООХРАНЕНИЯ «ГОРОДСКАЯ БОЛЬНИЦА № 3 г. КОРКИНО»