О защите персональных данных

ПОЛИТИКА
о порядке организации обработки и
обеспечении безопасности персональных данных в информационных системах персональных данных областного бюджетного учреждения здравоохранения Курской области «Мантуровская центральная районная больница»

  Общие положения.

1.1 Настоящее Политика разработана на основании: статей Конституции Российской Федерации; Трудового Кодекса Российской Федерации; Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012г. №1119; Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687.

1.2 Настоящая Политика определяет основные вопросы, связанные со сбором и обработкой персональных данных в ОБУЗ «Мантуровская ЦРБ»с использованием средств интернета, автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.

Определяется порядок обращения с персональными данными пациентов (субъектов персональных данных), которые обращаются в областное бюджетное учреждение здравоохранения Курской области «Мантуровская центральная районная больница» (далее — Учреждение) и персональными данными работников Учреждения, которые необходимы работодателю в связи с трудовыми отношениями.

1.3 В отношении сведений о субъектах персональных данных, позволяющих идентифицировать его личность, за исключением обезличенных и общедоступных персональных данных, в установленных федеральными законами случаях, должна обеспечиваться конфиденциальность таких сведений.

1.4 Защита персональных данных пациента от неправомерного их использования или утраты должна быть обеспечена оператором за счет его средств в порядке, установленном Федеральным Законом и другими нормативными документами Российской Федерации.

1.5 Политика является обязательной для исполнения всеми работниками Учреждения, имеющими доступ к персональным данным.

1.6 Настоящее Политика не распространяется на отношения, возникающие при:

—          организации хранения, комплектования, учета и использования содержащих персональные данные архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;

—          обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

1.7 В случаях, не указанных в данной Политике, следует руководствоваться действующими федеральными законами и нормативными правовыми актами Российской Федерации, регулирующими порядок обработки персональных данных.

1.8 Настоящая Политика вступает в силу с момента его утверждения руководителем Учреждения и действует бессрочно, до замены его новой Политикой.

1.9 Все изменения в Политику вносятся приказом.

1.10    Все работники Учреждения должны быть ознакомлены с настоящей Политикой под роспись.

 2.    Основные понятия персональных данных.

Для целей настоящей Политики используются следующие основные понятия:

автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

врачебная тайна – соблюдение конфиденциальности информации о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иных сведений, полученных при его обследовании и лечении;

документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель;

документы, содержащие персональные сведения пациента – формы медицинской и иной учетно-отчетной документации, включающие сведения о персональных данных;

информация – сведения (сообщения, данные) независимо от формы их представления;

информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения и не раскрывать третьим лицам персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;

обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

обработка персональных данных – любое действия (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

обработка персональных данных, содержащихся в   информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека;

общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;

оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

пациент – физическое лицо (субъект), обратившееся в Учреждение с целью получения медицинского обслуживания, либо состоящее в иных гражданско-правовых отношениях с Учреждением по вопросам получения медицинских услуг.

персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

персональные данные пациента – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, серия и номер паспорта, адрес регистрации и фактического проживания, идентификационный номер налогоплательщика (ИНН), страховое свидетельство государственного пенсионного страхования (СНИЛС), семейное, социальное Политика, образование, профессия, должность, специальность, серия и номер страхового медицинского полиса и его действительность, номер амбулаторной карты, номер истории болезни, сведения о состоянии здоровья, в том числе группа здоровья, группа инвалидности и степень ограничения к трудовой деятельности, состояние диспансерного учета, зарегистрированные диагнозы по результатам обращения пациентов к врачу, в том числе при прохождении диспансеризации и медицинских осмотров, информация об оказанных медицинских услугах, в том числе о проведенных лабораторных анализах и исследованиях и их результатах, выполненных оперативных вмешательствах, случаях стационарного лечения и их результатах, о выданных листах временной нетрудоспособности с указанием номера листа нетрудоспособности и периода нетрудоспособности, регистрация прикрепления на территории обслуживания пациента – дата и признак прикрепления, информация о выписанных и отпущенных лекарственных средствах и изделиях медицинского назначения, информация о наличии льгот (по категориям), о документах, подтверждающих право на льготу и право на льготное лекарственное обеспечение, дата и причина смерти гражданина в случае его смерти;

предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

 3.    Персональные данные работника.

3.1 В состав персональных данных работников Учреждения входят документы, содержащие информацию о паспортных данных, образовании, отношении к воинской обязанности, семейном положении, месте жительства, а также о предыдущих местах их работы.

3.2 Обработка персональных данных работника осуществляется на основании его письменного согласия (Приложение №1), за исключением случаев, прямо предусмотренных действующим законодательством РФ.

3.3 Комплект документов, сопровождающий процесс оформления трудовых отношений работника в Учреждение при его приеме, переводе и увольнении.

3.3.1 Информация, представляемая работником при поступлении на работу в Учреждение, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:

—          паспорт или иной документ, удостоверяющий личность;

—          трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;

—          страховое свидетельство государственного пенсионного страхования;

—          документы воинского учета – для военнообязанных и лиц, подлежащих воинскому учету;

—          документ об образовании, о квалификации или наличии специальных знаний – при поступлении на работу, требующую специальных знаний или специальной подготовки;

—          свидетельство о присвоении ИНН (при его наличии у работника).

3.3.2 При оформлении работника в Учреждение работником кадрового органа заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:

—          общие сведения (Ф.И.О. работника, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);

—          сведения о воинском учете;

—          данные о приеме на работу;

В дальнейшем в личную карточку вносятся:

—          сведения о переводах на другую работу;

—          сведения об аттестации;

—          сведения о повышении квалификации;

—          сведения о профессиональной переподготовке;

—          сведения о наградах (поощрениях), почетных званиях;

—          сведения об отпусках;

—          сведения о социальных льготах;

—          сведения о месте жительства и контактных телефонах.

3.3.3 В кадровом органе создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде:

Документы, содержащие персональные данные работников (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; комплекс материалов по анкетированию, тестированию; проведению собеседований с кандидатом на должность; подлинники и копии приказов по личному составу; личные дела и трудовые книжки работников; дела, содержащие основания к приказу по личному составу; дела, содержащие материалы аттестации работников; служебных расследований; справочно-информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения).

3.4 Работник, как субъект персональных данных, имеет право на получение сведений:

—          об операторе, о месте нахождения оператора,

—          о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных,

—          на подтверждение факта обработки персональных данных оператором, а также цели такой обработки;

—          о способах обработки персональных данных, применяемые оператором;

—          о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

—          о перечне обрабатываемых персональных данных и источник их получения;

—          о сроках обработки персональных данных, в том числе сроки их хранения;

—          о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных;

—          на ознакомление с персональными данными, за исключением случая, когда предоставление персональных данных нарушает конституционные права и свободы других лиц.

3.5 Работник имеет право:

—          требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

—          доступа к своим персональным данным при личном обращении к представителю Учреждения при наличии паспорта;

—          доступа к своим персональным данным при направлении письменного запроса, который должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных;

—          оформить доверенность на право доступа к его персональным данным;

—          принимать предусмотренные законом меры по защите своих прав.