Политика БУЗ ВО «Сокольская ЦРБ» в отношении обработки персональных данных
осуществляется в соответствии с Положением о защите персональных данных в БУЗ ВО «Сокольская ЦРБ»
Политика БУЗ ВО «Сокольская ЦРБ» в отношении обработки персональных данных
Положение о защите персональных данных
в БУЗ ВО «Сокольская ЦРБ»
1. Общие положения
1.1. Настоящее Положение разработано в соответствии с Конституцией РФ, Трудовым кодексом РФ № 197-ФЗ от 30.12.2001 г., Федеральным законом РФ "Об информации, информационных технологиях и о защите информации" № 149-ФЗ от 27.07.2006 г., Федеральным законом РФ "О персональных данных" № 152-ФЗ от 27.07.2006 г., Указом Президента РФ «Об утверждении перечня сведений конфиденциального характера» № 188 от 06.03.1997 г. и другими нормативными правовыми актами.
1.2. Настоящее Положение определяет порядок обработки персональных данных в БУЗ ВО «Сокольская ЦРБ» и гарантии конфиденциальности сведений, предоставляемых гражданами в БУЗ ВО «Сокольская ЦРБ».
1.3. Порядок ввода в действие и изменения Положения.
1.3.1. Настоящее Положение вступает в силу с момента его утверждения главным врачом БУЗ ВО «Сокольская ЦРБ» и действует бессрочно, до замены его новым Положением.
1.3.2. Все изменения в Положение вносятся приказом.
1.4. Все работники БУЗ ВО «Сокольская ЦРБ» должны быть ознакомлены с настоящим Положением под роспись.
1.5. Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении 75 лет срока их хранения, или продлевается на основании заключения экспертной комиссии БУЗ ВО «Сокольская ЦРБ», если иное не определено законом.
2. Основные понятия и состав персональных данных
2.1. Для целей настоящего Положения используются следующие основные понятия:
Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.
Обработка персональных данных - сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных.
Конфиденциальность персональных данных - обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным, требование не допускать их распространения без согласия гражданина или иного законного основания.
Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
Использование персональных данных - действия (операции) с персональными данными, совершаемые должностным лицом в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении граждан либо иным образом, затрагивающих их права и свободы или права и свободы других лиц.
Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.
Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному гражданину.
Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия гражданина или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
2.2. В состав персональных данных граждан входят документы, содержащие информацию о паспортных данных, образовании, отношении к воинской обязанности, семейном положении, месте жительства, состоянии здоровья, а также о предыдущих местах их работы и т.д.
3. Обработка персональных данных
3.1. Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные, содержатся в информационной системе персональных данных либо были извлечены из нее.
3.2. БУЗ ВО «Сокольская ЦРБ» не имеет права получать и обрабатывать персональные данные граждан об их политических, религиозных и иных убеждениях и частной жизни.
В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации БУЗ ВО «Сокольская ЦРБ» вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
БУЗ ВО «Сокольская ЦРБ» не имеет права получать и обрабатывать персональные данные граждан об их членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
При принятии решений, затрагивающих интересы граждан, БУЗ ВО «Сокольская ЦРБ» не имеет права основываться на персональных данных граждан, полученных исключительно в результате их автоматизированной обработки или электронного получения.
3.3. На основании норм Трудового кодекса РФ (ст. 86), а также исходя из положений п.2 ст.6 ФЗ РФ "О персональных данных", обработка персональных данных осуществляется БУЗ ВО «Сокольская ЦРБ» без письменного согласия работника, за исключением случаев, предусмотренных федеральным законом.
Также, обработка персональных данных осуществляется БУЗ ВО «Сокольская ЦРБ» без письменного согласия граждан в случаях обработки персональных данных осуществляемых в целях исполнения договора, одной из сторон которого является субъект персональных данных, для статистических или иных научных целей при условии обязательного обезличивания персональных данных, для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.
Получение
3.4. Все персональные данные о гражданине БУЗ ВО «Сокольская ЦРБ» может получить у него самого.
3.5. Граждане предоставляют в БУЗ ВО «Сокольская ЦРБ» достоверные сведения о себе и своевременно сообщают ему об изменении своих персональных данных. БУЗ ВО «Сокольская ЦРБ» проверяет достоверность сведений, предоставленных гражданами, сверяя данные, предоставленные гражданами, с имеющимися в БУЗ ВО «Сокольская ЦРБ» документами.
3.6. В случаях, когда БУЗ ВО «Сокольская ЦРБ» может получить необходимые персональные данные граждан только у третьего лица, БУЗ ВО «Сокольская ЦРБ» должно уведомить об этом гражданина и получить от него письменное согласие, за исключением случаев, когда третьи лица имеют письменные согласия гражданин на передачу своих персональных данных другим третьим лицам, а также случаев, предусмотренных законодательством РФ.
БУЗ ВО «Сокольская ЦРБ» обязано сообщить гражданину о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях за отказ дать письменное согласие на их получение.
Хранение персональных данных
3.7. Персональные данные хранятся как в электронном виде, так и на бумажных носителях. Доступ к электронным базам данных (информационные системы персональных данных), содержащим персональные данные, обеспечиваются системой защиты персональных данных.
При обработке персональных данных, осуществляемой без использования средств автоматизации, хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях, должно обеспечивать раздельное хранение.
При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
3.8. Сотрудник БУЗ ВО «Сокольская ЦРБ», имеющий доступ к персональным данным граждан в связи с исполнением трудовых обязанностей:
• обеспечивает хранение информации, содержащей персональные данные, исключающее доступ к ним третьих лиц.
В отсутствие сотрудника на его рабочем месте не должно быть документов, содержащих персональные данные, а также сотрудник обязан исключить несанкционированный доступ к техническим средствам обработки персональных данных.
• при уходе в отпуск, служебной командировке и иных случаях длительного отсутствия работника на своем рабочем месте, он обязан передать документы и иные носители, содержащие персональные данные лицу, на которое локальным актом организации (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей.
Примечание: в случае если такое лицо не назначено, то документы и иные носители, содержащие персональные данные, передаются другому сотруднику, имеющему доступ к персональным данным по указанию руководителя структурного подразделения.
При увольнении сотрудника, имеющего доступ к персональным данным, документы и иные носители, содержащие персональные данные работников, передаются другому сотруднику, имеющему доступ к персональным данным по указанию руководителя структурного подразделения.
Использование (доступ, передача, комбинирование и т.д.) персональных данных
3.9. Доступ к персональным данным имеют сотрудники БУЗ ВО «Сокольская ЦРБ», которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей согласно перечню должностей.
В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией руководителя БУЗ ВО «Сокольская ЦРБ», доступ к персональным данным может быть предоставлен иному работнику, должность которого не включена в Перечень должностей сотрудников, имеющих доступ к персональным данным, и которым они необходимы в связи с исполнением трудовых обязанностей.
3.10. В случае если БУЗ ВО «Сокольская ЦРБ» оказывают услуги юридическим и физическим лицам на основании заключенных договоров (либо иных оснований), и в силу данных договоров они должны иметь доступ к персональным данным в БУЗ ВО «Сокольская ЦРБ», то соответствующие данные предоставляются БУЗ ВО «Сокольская ЦРБ» только после подписания с ними соглашения о неразглашении конфиденциальной информации.
В исключительных случаях, исходя из договорных отношений с контрагентом, допускается наличие в договорах пунктов о неразглашении конфиденциальной информации, в том числе предусматривающих защиту персональных данных.
3.11. Процедура оформления доступа к персональным данным включает в себя:
• ознакомление работника под роспись с настоящим Положением.
Примечание: При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных, с данными актами также производится ознакомление работника под роспись.
• истребование с сотрудника (за исключением руководителя БУЗ ВО «Сокольская ЦРБ») письменного обязательства о соблюдении конфиденциальности персональных данных и соблюдении правил их обработки.
3.12. Сотрудники БУЗ ВО «Сокольская ЦРБ», имеющие доступ к персональным данным, имеют право получать только те персональные данные, которые необходимы им для выполнения конкретных трудовых функций.
3.13 Доступ к персональным данным без ограничений распространяется на руководителя учреждения, а также на специалистов, осуществляющих защиту персональных данных.
3.14. Допуск к персональным данным сотрудников БУЗ ВО «Сокольская ЦРБ», не имеющих надлежащим образом оформленного доступа, разрешается только с согласия руководителя БУЗ ВО «Сокольская ЦРБ».
3.15. Гражданин имеет право на свободный доступ к своим персональным данным, включая право на получение копии любой записи, за исключением случаев, предусмотренных федеральным законом, содержащей его персональные данные.
На основании приказа Минздравсоцразвития РФ №225 от 22.11.2004 г "О ПОРЯДКЕ ОКАЗАНИЯ ПЕРВИЧНОЙ МЕДИКО-САНИТАРНОЙ ПОМОЩИ ГРАЖДАНАМ, ИМЕЮЩИМ ПРАВО НА ПОЛУЧЕНИЕ НАБОРА СОЦИАЛЬНЫХ УСЛУГ" медицинские карты амбулаторного больного, истории развития ребенка хранятся в регистратуре лечебного учреждения. Медицинская карта гражданина (пациента) не является его собственностью.
Исходя из вышеизложенного под свободным доступом гражданина (пациента) к своим персональным данным подразумевается ознакомление его с медицинской картой, отражающей его персональные данные, но неполучение медицинской карты на руки.
Гражданин (пациент) имеет право получить свою медицинскую карту на руки только с письменного разрешения главного врача БУЗ ВО «Сокольская ЦРБ».
Обязательные условия получения гражданином (пациентом) свободного доступа к своим персональным данным медицинского характера, размещенных в медицинских картах амбулаторного больного (форма 025/у-04):
а) доступ к своим персональным данным осуществляется в рабочее время в соответствии с правилами внутреннего трудового распорядка, установленными в БУЗ ВО «Сокольская ЦРБ»;
б) доступ к своим персональным данным осуществляется в присутствии лечащего врача в его рабочее время. В случае его отсутствия доступ осуществляется в присутствии другого врача, заменяющего его по должностным обязанностям в его рабочее время.
Гражданин имеет право вносить предложения по внесению изменений в свои данные в случае обнаружения в них неточностей.
3.16. БУЗ ВО «Сокольская ЦРБ» вправе передавать персональные данные граждан в структурные подразделения, в случае необходимости исполнения сотрудниками соответствующих структурных подразделений своих трудовых обязанностей.
При передаче персональных данных граждан, сотрудники БУЗ ВО «Сокольская ЦРБ» предупреждают лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и истребуют от этих лиц письменное обязательство в соответствии с п. 3.11. настоящего Положения.
3.17. Передача (обмен и т.д.) персональных данных между подразделениями БУЗ ВО «Сокольская ЦРБ» осуществляется только между сотрудниками, имеющими доступ к персональным данным.
Доступ к персональным данным третьих лиц (физических и юридических)
3.18. Передача персональных данных третьим лицам осуществляется только с письменного согласия гражданина, которое оформляется по установленной форме (Приложение 3) и должно включать в себя:
• фамилию, имя, отчество, адрес работника, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• наименование и адрес работодателя, получающего согласие работника;
• цель передачи персональных данных;
• перечень персональных данных, на передачу которых дает согласие работник;
• срок, в течение которого действует согласие, а также порядок его отзыва.
Примечание: Согласия граждан на передачу их персональных данных третьим лицам не требуется в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника; когда третьи лица оказывают услуги работодателю на основании заключенных договоров, а также в случаях, установленных федеральным законом и настоящим Положением.
3.19. Не допускается передача персональных данных граждан в коммерческих целях без его письменного согласия.
3.20. Сотрудники БУЗ ВО «Сокольская ЦРБ», передающие персональные данные граждан третьим лицам, должны передавать их с обязательным составлением акта приема-передачи документов (иных материальных носителей), содержащих персональные данные граждан. Акт должен содержать следующие условия:
• уведомление лица, получающего данные документы об обязанности использования полученной конфиденциальной информации лишь в целях, для которых она сообщена;
• предупреждение об ответственности за незаконное использование данной конфиденциальной информации в соответствии с федеральными законами.
Передача документов (иных материальных носителей), содержащих персональные данные, осуществляется при наличии у лица, уполномоченного на их получение:
• договора на оказание услуг БУЗ ВО «Сокольская ЦРБ»;
• соглашения о неразглашении конфиденциальной информации либо наличие в договоре с третьим лицом пунктов о неразглашении конфиденциальной информации, в том числе, предусматривающих защиту персональных данных работника;
• письма-запроса от третьего лица, которое должно включать в себя указание на основания получения доступа к запрашиваемой информации, содержащей персональные данные, её перечень, цель использования, Ф.И.О. и должность лица, которому поручается получить данную информацию.
Ответственность за соблюдение вышеуказанного порядка предоставления персональных данных несет сотрудник, а также руководитель структурного подразделения, осуществляющего передачу персональных данных третьим лицам.
3.21. Представителю граждан (в том числе адвокату) персональные данные передаются в порядке, установленном действующим законодательством и настоящим Положением. Информация передается при наличии одного из документов:
• нотариально удостоверенной доверенности представителя гражданина;
• письменного заявления гражданина, написанного в присутствии сотрудника БУЗ ВО «Сокольская ЦРБ» (если заявление написано не в присутствии сотрудника БУЗ ВО «Сокольская ЦРБ», то оно должно быть нотариально заверено).
Доверенности и заявления хранятся в архиве БУЗ ВО «Сокольская ЦРБ».
3.22. Предоставление персональных данных государственным органам производится в соответствии с требованиями действующего законодательства и настоящим Положением.
3.23. Персональные данные могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого гражданина, за исключением случаев, когда передача персональных данных без его согласия допускается действующим законодательством РФ.
3.24. Документы, содержащие персональные данные, могут быть отправлены через организацию федеральной почтовой связи. При этом должна быть обеспечена их конфиденциальность. Документы, содержащие персональные данные, вкладываются в конверт, к нему прилагается сопроводительное письмо. На конверте делается надпись о том, что содержимое конверта является конфиденциальной информацией, и за незаконное ее разглашение законодательством предусмотрена ответственность. Далее, конверт с сопроводительным письмом вкладывается в другой конверт, на который наносятся только реквизиты, предусмотренные почтовыми правилами для заказных почтовых отправлений.
4. Организация защиты персональных данных
4.1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
4.2. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.
4.3. Защита персональных данных представляет собой жестко регламентированный и динамически-технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и в конечном счете обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности организации.
4.4. Защита персональных данных от неправомерного их использования или утраты обеспечивается БУЗ ВО «Сокольская ЦРБ» за счет средств БУЗ ВО «Сокольская ЦРБ» в порядке, установленном федеральными законами.
4.5. Защиту персональных данных осуществляет ответственный сотрудник отдела АСУ (далее специалист по защите информации).
4.6. Специалист по защите информации обеспечивает:
• ознакомление сотрудников под роспись с настоящим Положением, кроме руководителя учреждения.
При наличии иных нормативных актов (приказы, распоряжения, инструкции и т.п.), регулирующих обработку и защиту персональных данных, с данными актами также производится ознакомление сотрудников.
• истребование с сотрудников письменного обязательства о соблюдении конфиденциальности персональных данных и соблюдении правил их обработки.
• общий контроль за соблюдением сотрудниками БУЗ ВО «Сокольская ЦРБ» мер по защите персональных данных.
4.7. Организацию и контроль за защитой персональных данных в структурных подразделениях БУЗ ВО «Сокольская ЦРБ», сотрудники которых имеют доступ к персональным данным, осуществляют их непосредственные руководители.
4.8. Защите подлежит:
Информация о персональных данных
документы, содержащие персональные данные персональные данные, содержащиеся на электронных носителях информационные системы
персональных данных
Внутренняя защита
4.9. Основным виновником несанкционированного доступа к персональным данным является, как правило, персонал, работающий с документами и базами данных. Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий между руководителями и специалистами БУЗ ВО «Сокольская ЦРБ».
4.10. Для обеспечения внутренней защиты персональных данных необходимо соблюдать ряд мер:
- ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний;
- строгое избирательное и обоснованное распределение документов и информации между работниками;
- рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;
- знание работником требований нормативно-методических документов по защите информации и сохранении тайны;
- наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
- определение и регламентация состава работников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;
- организация порядка уничтожения информации;
- своевременное выявление нарушения требований разрешительной системы доступа работниками подразделения;
- воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;
4.11. Защита сведений, хранящихся в электронных базах данных БУЗ ВО «Сокольская ЦРБ», от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается системой защиты персональных данных.
Внешняя защита
4.12. Для защиты персональных данных создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.
4.13. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности компании, посетители, работники других организационных структур. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов, дел и рабочих материалов в отделе персонала.
4.14. Для обеспечения внешней защиты персональных данных необходимо соблюдать ряд мер:
- порядок приема, учета и контроля деятельности посетителей;
- технические средства охраны и сигнализации;
- порядок охраны (зданий, помещений, оборудования);
- требования к защите информации.
4.15. Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны подписать обязательство о неразглашении персональных данных.
4.16. По возможности персональные данные обезличиваются.
4.17. Кроме мер защиты персональных данных, установленных законодательством, БУЗ ВО «Сокольская ЦРБ», сотрудники и их представители могут вырабатывать совместные меры защиты персональных данных.
5. Заключительные положения
5.1. Иные права, обязанности, действия сотрудников, в трудовые обязанности которых входит обработка персональных данных, определяются также должностными инструкциями.
5.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в порядке, установленном федеральными законами.
5.3. Разглашение персональных данных в БУЗ ВО «Сокольская ЦРБ» (передача их посторонним лицам, в том числе, работникам БУЗ ВО «Сокольская ЦРБ» , не имеющим к ним доступа), их публичное раскрытие, утрата документов и иных носителей, содержащих персональные данные, а также иные нарушения обязанностей по их защите и обработке, установленных настоящим Положением, локальными нормативными актами (приказами, распоряжениями) БУЗ ВО «Сокольская ЦРБ» , влечет наложение на сотрудника, имеющего доступ к персональным данным, дисциплинарного взыскания – замечания, выговора, увольнения.
Сотрудник БУЗ ВО «Сокольская ЦРБ», имеющий доступ к персональным данным и совершивший указанный дисциплинарный проступок, несет полную материальную ответственность в случае причинения его действиями ущерба БУЗ ВО «Сокольская ЦРБ» (п.7 ст. 243 Трудового кодекса РФ).
5.4. Сотрудники БУЗ ВО «Сокольская ЦРБ», имеющие доступ к персональным данным, виновные в незаконном разглашении или использовании персональных данных работодателя без согласия граждан из корыстной или иной личной заинтересованности и причинившие крупный ущерб, несут уголовную ответственность в соответствии со ст. 183 Уголовного кодекса РФ.