ПОЛИТИКА
о порядке организации обработки и
обеспечении безопасности персональных данных в информационных системах персональных данных областного бюджетного учреждения здравоохранения Курской области «Мантуровская центральная районная больница»
Общие положения.
1.1 Настоящее Политика разработана на основании: статей Конституции Российской Федерации; Трудового Кодекса Российской Федерации; Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012г. №1119; Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687.
1.2 Настоящая Политика определяет основные вопросы, связанные со сбором и обработкой персональных данных в ОБУЗ «Мантуровская ЦРБ»с использованием средств интернета, автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.
Определяется порядок обращения с персональными данными пациентов (субъектов персональных данных), которые обращаются в областное бюджетное учреждение здравоохранения Курской области «Мантуровская центральная районная больница» (далее — Учреждение) и персональными данными работников Учреждения, которые необходимы работодателю в связи с трудовыми отношениями.
1.3 В отношении сведений о субъектах персональных данных, позволяющих идентифицировать его личность, за исключением обезличенных и общедоступных персональных данных, в установленных федеральными законами случаях, должна обеспечиваться конфиденциальность таких сведений.
1.4 Защита персональных данных пациента от неправомерного их использования или утраты должна быть обеспечена оператором за счет его средств в порядке, установленном Федеральным Законом и другими нормативными документами Российской Федерации.
1.5 Политика является обязательной для исполнения всеми работниками Учреждения, имеющими доступ к персональным данным.
1.6 Настоящее Политика не распространяется на отношения, возникающие при:
— организации хранения, комплектования, учета и использования содержащих персональные данные архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
— обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
1.7 В случаях, не указанных в данной Политике, следует руководствоваться действующими федеральными законами и нормативными правовыми актами Российской Федерации, регулирующими порядок обработки персональных данных.
1.8 Настоящая Политика вступает в силу с момента его утверждения руководителем Учреждения и действует бессрочно, до замены его новой Политикой.
1.9 Все изменения в Политику вносятся приказом.
1.10 Все работники Учреждения должны быть ознакомлены с настоящей Политикой под роспись.
2. Основные понятия персональных данных.
Для целей настоящей Политики используются следующие основные понятия:
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
врачебная тайна – соблюдение конфиденциальности информации о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иных сведений, полученных при его обследовании и лечении;
документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель;
документы, содержащие персональные сведения пациента – формы медицинской и иной учетно-отчетной документации, включающие сведения о персональных данных;
информация – сведения (сообщения, данные) независимо от формы их представления;
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения и не раскрывать третьим лицам персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
обработка персональных данных – любое действия (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека;
общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
пациент – физическое лицо (субъект), обратившееся в Учреждение с целью получения медицинского обслуживания, либо состоящее в иных гражданско-правовых отношениях с Учреждением по вопросам получения медицинских услуг.
персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
персональные данные пациента – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, серия и номер паспорта, адрес регистрации и фактического проживания, идентификационный номер налогоплательщика (ИНН), страховое свидетельство государственного пенсионного страхования (СНИЛС), семейное, социальное Политика, образование, профессия, должность, специальность, серия и номер страхового медицинского полиса и его действительность, номер амбулаторной карты, номер истории болезни, сведения о состоянии здоровья, в том числе группа здоровья, группа инвалидности и степень ограничения к трудовой деятельности, состояние диспансерного учета, зарегистрированные диагнозы по результатам обращения пациентов к врачу, в том числе при прохождении диспансеризации и медицинских осмотров, информация об оказанных медицинских услугах, в том числе о проведенных лабораторных анализах и исследованиях и их результатах, выполненных оперативных вмешательствах, случаях стационарного лечения и их результатах, о выданных листах временной нетрудоспособности с указанием номера листа нетрудоспособности и периода нетрудоспособности, регистрация прикрепления на территории обслуживания пациента – дата и признак прикрепления, информация о выписанных и отпущенных лекарственных средствах и изделиях медицинского назначения, информация о наличии льгот (по категориям), о документах, подтверждающих право на льготу и право на льготное лекарственное обеспечение, дата и причина смерти гражданина в случае его смерти;
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
3. Персональные данные работника.
3.1 В состав персональных данных работников Учреждения входят документы, содержащие информацию о паспортных данных, образовании, отношении к воинской обязанности, семейном положении, месте жительства, а также о предыдущих местах их работы.
3.2 Обработка персональных данных работника осуществляется на основании его письменного согласия (Приложение №1), за исключением случаев, прямо предусмотренных действующим законодательством РФ.
3.3 Комплект документов, сопровождающий процесс оформления трудовых отношений работника в Учреждение при его приеме, переводе и увольнении.
3.3.1 Информация, представляемая работником при поступлении на работу в Учреждение, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:
— паспорт или иной документ, удостоверяющий личность;
— трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;
— страховое свидетельство государственного пенсионного страхования;
— документы воинского учета – для военнообязанных и лиц, подлежащих воинскому учету;
— документ об образовании, о квалификации или наличии специальных знаний – при поступлении на работу, требующую специальных знаний или специальной подготовки;
— свидетельство о присвоении ИНН (при его наличии у работника).
3.3.2 При оформлении работника в Учреждение работником кадрового органа заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:
— общие сведения (Ф.И.О. работника, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);
— сведения о воинском учете;
— данные о приеме на работу;
В дальнейшем в личную карточку вносятся:
— сведения о переводах на другую работу;
— сведения об аттестации;
— сведения о повышении квалификации;
— сведения о профессиональной переподготовке;
— сведения о наградах (поощрениях), почетных званиях;
— сведения об отпусках;
— сведения о социальных льготах;
— сведения о месте жительства и контактных телефонах.
3.3.3 В кадровом органе создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде:
Документы, содержащие персональные данные работников (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; комплекс материалов по анкетированию, тестированию; проведению собеседований с кандидатом на должность; подлинники и копии приказов по личному составу; личные дела и трудовые книжки работников; дела, содержащие основания к приказу по личному составу; дела, содержащие материалы аттестации работников; служебных расследований; справочно-информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения).
3.4 Работник, как субъект персональных данных, имеет право на получение сведений:
— об операторе, о месте нахождения оператора,
— о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных,
— на подтверждение факта обработки персональных данных оператором, а также цели такой обработки;
— о способах обработки персональных данных, применяемые оператором;
— о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
— о перечне обрабатываемых персональных данных и источник их получения;
— о сроках обработки персональных данных, в том числе сроки их хранения;
— о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных;
— на ознакомление с персональными данными, за исключением случая, когда предоставление персональных данных нарушает конституционные права и свободы других лиц.
3.5 Работник имеет право:
— требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
— доступа к своим персональным данным при личном обращении к представителю Учреждения при наличии паспорта;
— доступа к своим персональным данным при направлении письменного запроса, который должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных;
— оформить доверенность на право доступа к его персональным данным;
— принимать предусмотренные законом меры по защите своих прав.