Обработка персональных данных
1. ОБЩАЯ ЧАСТЬ
Настоящее Положение определяет политику в Государственном бюджетном учреждении здравоохранения «Городская детская поликлиника» (далее ГБУЗ «ГДП») как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.
Настоящая Политика обработки персональных данных (далее — Политика) ГБУЗ «ГДП» (далее – Оператор), расположенного по адресу: 386130, г. Назрань, ул. Защитников Брестской крепости,1 разработана в соответствии с Конституцией Российской Федерации, № 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом 27 июля 2006 года № 152-ФЗ "О персональных данных", постановлением Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", иными федеральными законами и нормативно-правовыми актами.
Политика разработана в целях обеспечения реализации требований законодательства Российской Федерации в области обработки персональных данных, направленного на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, в частности в целях защиты от несанкционированного доступа и неправомерного распространения персональных данных, обрабатываемых в информационных системах в ГБУЗ «ГДП».
Политика действует в отношении информации, которую Оператор получает о субъекте персональных данных в процессе предоставления услуг или исполнения договорных обязательств.
Персональные данные являются конфиденциальной, строго охраняемой информацией и на них распространяются все требования, установленные внутренними документами Оператора по защите конфиденциальной информации.
2. ПРАВОВОЕ ОСНОВАНИЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Обработка персональных данных осуществляется на основе следующих федеральных законов и нормативно-правовых актов в действующих редакциях:
· Конституция РФ от 12 декабря 1993 г. (ст. ст. 2, 17-24, 41);
· Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
· Федеральный закон Российской Федерации от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
· Федеральный закон Российской Федерации от 29 ноября 2010 г. № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
· Федеральный закон Российской Федерации от 02 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
· Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
· Указ Президента РФ от 06 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;
· Постановление Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных», и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами;
· Постановление Правительства Российской Федерации от 15 сентября 2008 г.№ 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
· Постановление Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
· Регламентирующие документы ФСТЭК России и ФСБ России об обеспечении безопасности персональных данных: Приказ ФСТЭК № 21 от 18 февраля 2013 г. «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ГБУЗ «ГДП» осуществляет обработку персональных данных в следующих целях:
· выполнения требований законодательства по определению порядка обработки и защиты персональных данных граждан, являющихся пациентами ГБУЗ «ГДП» (далее – субъекты персональных данных).
· осуществления прав и законных интересов ГБУЗ «ГДП» в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами ГБУЗ «ГДП», или третьих лиц либо достижения общественно значимых целей;
· в иных законных целях.
4. ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
При обработке персональных данных ГБУЗ «ГДП» придерживается следующих принципов:
· соблюдения законности получения, обработки, хранения, а также других действий с персональными данными;
· осуществления сбора тех персональных данных, которые минимально необходимы для достижения заявленных целей обработки;
· соблюдения мер по обеспечению безопасности персональных данных при их обработке и хранении;
· соблюдения прав субъекта персональных данных на доступ к его персональным данным;
· соблюдения соответствия сроков хранения персональных данных заявленным целям обработки.
5. КОНФИДЕНЦИАЛЬНОСТЬ ПЕРСОНАЛЬНЫХ ДАННЫХ
Работники организации и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
6. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
В состав обрабатываемых в ГБУЗ «ГДП» персональных данных пациентов и работников могут входить:
- фамилия, имя, отчество;
- пол;
- дата рождения или возраст;
- паспортные данные;
- адрес проживания;
- номер телефона, факса, адрес электронной почты (по желанию);
- информация о состоянии здоровья;
- другая информация, необходимая для правильного проведения и интерпретации медицинских исследований;
- результаты выполненных медицинских исследований;
- другая информация, необходимая для выполнения обязательств организации в соответствии с законодательством
ГБУЗ «ГДП» осуществляет обработку данных о состоянии здоровья пациентов в целях оказания медицинских услуг и установления медицинского диагноза.
7. СБОР (ПОЛУЧЕНИЕ) ПЕРСОНАЛЬНЫХ ДАННЫХ
Персональные данные пациентов ГБУЗ «ГДП» получает только лично от пациента, либо от его законного представителя. Персональные данные пациента могут быть получены с его слов и не проверяются.
8. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ
Обработка персональных данных в ГБУЗ «ГДП» происходит как неавтоматизированным, так и автоматизированным способом.
К обработке персональных данных допускаются сотрудники прошедшие определенную процедуру допуска, к которой относятся:
· ознакомление сотрудника с локальными нормативными актами ГБУЗ «ГДП» (положения, инструкции и т.д.), строго регламентирующими порядок и процедуру работы с персональными данными;
· взятие с сотрудника подписки о соблюдении конфиденциальности в отношении персональных данных при работе с ними;
· получение сотрудником и использование в работе индивидуальных атрибутов доступа к информационным системам ГБУЗ «ГДП», содержащим в себе персональные данные. Каждому сотруднику выдаются минимально необходимые для исполнения трудовых обязанностей права на доступ в информационные системы.
Сотрудники, имеющие доступ к персональным данным, получают необходимую информацию, которая необходима им для выполнения конкретных трудовых функций.
9. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
Персональные данные пациентов могут храниться в бумажном (амбулаторная карта, бланки направлений, результаты обследований) и электронном виде. В электронном виде персональные данные пациентов хранятся в информационной системе персональных данных, а также в архивных копиях баз данных этих систем. При хранении персональных данных пациентов и работников соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним. К ним относятся:
· ограничение физического доступа к местам хранения и носителям;
· учет всех информационных систем и электронных носителей, в том числе архивных копий.
10. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ
Передача персональных данных третьим лицам возможна в исключительных случаях только с согласия пациента или его законных представителей с целью исполнения обязанностей перед пациентом в рамках оказания услуг, кроме случаев, когда такая обязанность у Оператора наступает в результате требований федерального законодательства или при поступлении запроса от уполномоченных государственных органов.
11. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ
ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ.
Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:
1. Назначением ответственных за организацию обработки персональных данных;
2. Осуществлением внутреннего контроля и/или аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам;
3. Ознакомлением работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных, и (или) обучением указанных сотрудников;
4. Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
5. Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
6. Учетом машинных носителей персональных данных;
7. Выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер;
8. Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
9. Контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных;
12. ПРАВА ПАЦИЕНТА
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
· подтверждение факта обработки персональных данных;
· правовые основания и цели обработки персональных данных;
· цели и применяемые способы обработки персональных данных;
· сведения о лицах (за исключением работников организации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора или на основании федерального закона;
· обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;
· сроки обработки персональных данных, в том числе сроки их хранения;
· порядок осуществления субъектом персональных данных своих прав;
· наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению организации, если обработка поручена или будет поручена такому лицу.
Соответствующая информация предоставляется субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен быть составлен в соответствии с требованиями законодательства.
Настоящая Политика обработки персональных данных действует в отношении всей информации, которую ГБУЗ «ГДП» может получить о пользователе во время использования им сервисов сайта. Использование сервисов сайта означает безоговорочное согласие пользователя с настоящей Политикой и указанными в ней условиями обработки его персональной информации; в случае несогласия с этими условиями пользователь должен воздержаться от использования сервисов сайта.
