ПОЛИТИКА в отношении обработки персональных данных

УТВЕРЖДЕНА

Приказом начальника бюро

ГБУЗ РК «ПАБ»

02.09.2013 г. №4/ЗПДн

 

ПОЛИТИКА

в отношении обработки персональных данных

 

1.     Общие положения

1.1.   Назначение документа

1.1.1. Политика в отношении обработки персональных данных (далее – Политика) определяет систему взглядов ГБУЗ РК «ПАБ» (далее – Оператор) на обработку и защиту персональных данных (ПДн).

1.1.2. Настоящая Политика разработана в соответствии с:

-        Конституцией Российской Федерации;

-        Трудовым кодексом Российской Федерации;

-        Гражданским кодексом Российской Федерации;

-        Федеральным законом Российской Федерации от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации»;

-        Федеральным законом Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (далее – ФЗ «О персональных данных);

-        Федеральным законом Российской Федерации от 21 ноября 2011 г. №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;

-        Федеральным законом Российской Федерации от 12 января 1996 г. №8-ФЗ «О погребении и похоронном деле».

1.1.3. Цель Политики – обеспечение соблюдения норм законодательства Российской Федерации и выполнения требований Правительства Российской Федерации в области обработки и защиты ПДн.

1.2.   Область действия документа

1.2.1. Настоящая Политика является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке ПДн.

1.2.2. Положения настоящей Политики распространяются на весь объем ПДн, обрабатываемых Оператором, полученных как до, так и после вступления ее в силу, а также на всех субъектов ПДн.

1.3.   Вступление в силу документа

1.3.1. Настоящая Политика вступает в силу с момента ее утверждения начальником бюро и действует бессрочно до замены ее новой Политикой.

1.3.2. В соответствии с п. 2 ст. 18.1 ФЗ «О персональных данных»: доступ к настоящему документу не может быть ограничен.

2.     Сведения об Операторе

2.1.   Реквизиты

2.1.1. Полное наименование Оператора: Государственное бюджетное учреждение здравоохранения Республики Коми «Патологоанатомическое бюро».

2.1.2. ИНН: 1101482539.

2.1.3. Юридический адрес: 167610, Республика Коми, г. Сыктывкар, ул. Гаражная, 8.

2.1.4. Телефон: (8212) 434-857.

2.1.5. Регистрационный номер в Реестре операторов, осуществляющих обработку ПДн: 10-0100629.

2.2.   Исполнение Политики

2.2.1. С целью исполнения настоящей Политики начальником бюро утверждены:

-                    Положение об обработке и защите персональных данных»;

-                    Перечень обрабатываемых персональных данных;

-                    Перечень работников, допущенных к неавтоматизированной обработке персональных данных;

-        Перечни прав доступа работников к ресурсам информационных систем персональных данных;

-        Перечень защищаемых помещений;

-        Списки лиц, имеющих право самостоятельного доступа в защищаемые помещения;

-        Перечень хранилищ персональных данных и их материальных носителей;

-        Перечни данных, подлежащих резервному копированию в информационных системах персональных данных;

-                    иные локальные документы, принимаемые во исполнение требований действующих нормативных правовых актов Российской Федерации в области обработки и защиты персональных данных.

3.     Обрабатываемые персональные данные

3.1.   Субъекты ПДн

3.1.1. Обрабатываемые Оператором ПДн принадлежат следующим субъектам ПДн:

-       работникам Оператора и их ближайшим родственникам;

-       пациентам Оператора, в том числе умершим;

-        лицам, обратившимся к Оператору с письменным заявлением.

3.2.   Состав обрабатываемых ПДн

3.2.1. Оператором обрабатываются следующие категории ПДн:

-   ПДн работников:

  • первичные сведения (Ф. И. О., дата, год и место рождения и др.);
  • сведения о документе, удостоверяющем личность (серия, номер и др.);
  • реквизиты (ИНН, СНИЛС, медицинский полис и др.);
  • сведения о занимаемой должности (место работы, должность, трудовой договор и др.);
  • сведения об образовании (наименование образовательного учреждения, сведения о документах, подтверждающих образование и др.);
  • сведения о трудовой деятельности (трудовой стаж, места работы и др.);
  • сведения о повышении квалификации (сведения о документах, подтверждающих квалификацию и др.);
  • бухгалтерские сведения (тарифная ставка, надбавка, данные о начисленных суммах и др.);
  • сведения о состоянии на воинском учете;
  • сведения о составе семьи;
  • иные сведения.

-   ПДн ближайших родственников работников:

  • первичные сведения (Ф. И. О., год рождения, степень родства).

-   ПДн пациентов, в том числе умерших:

  • первичные сведения (Ф. И. О., год рождения, пол, номер направления на патологоанатомическое исследование);
  • медицинские сведения (история болезни, биопсия, дата и вид операции, клинические данные, диагноз).

-   ПДн лиц, обратившихся к Оператору:

  • первичные сведения (Ф. И. О., почтовый адрес);
  • сведения о документе, удостоверяющем личность (серия, номер и др.);
  • сведения о документе, удостоверяющем право законного представителя (серия, номер и др.).

3.3.   Цели обработки ПДн

3.3.1. Оператор осуществляет обработку ПДн работников Оператора в целях:

-        исполнения положений нормативных актов, указанных в п. 1.1.2 настоящей Политики;

-        исполнения обязательств и функций работодателя;

-        исполнения обязанностей и функций учреждения здравоохранения;

-        ведения кадрового делопроизводства и бухгалтерского учета;

-        расчета, начисления и выдачи заработной и иной платы;

-        осуществления отчислений в пенсионные фонды, федеральную налоговую службу, фонды социального страхования;

-        ведения регистра медицинских работников;

-        содействия в осуществлении трудовой деятельности и учета результатов исполнения договорных обязательств;

-        обучения, повышения квалификации и продвижения по службе;

-        предоставления льгот;

-        контроля количества и качества выполняемой работы;

-        обеспечения личной безопасности.

3.3.2. Оператор осуществляет обработку ПДн ближайших родственников работников Оператора в целях:

-        исполнения положений нормативных актов, указанных в п. 1.1.2 настоящей Политики;

-        исполнения обязательств и функций работодателя;

-        ведения кадрового учета;

-        разработки эвакуационных планов ГО и ЧС.

3.3.3. Оператор осуществляет обработку ПДн пациентов Оператора, в том числе умерших, в целях:

-        исполнения положений нормативных актов, указанных в п. 1.1.2 настоящей Политики;

-        исполнения обязанностей и функций учреждения здравоохранения;

-        исполнения обязанностей и функций патологоанатомического бюро;

-        проведения патологоанатомических исследований;

-        ведения картотеки (в том числе электронной) патологоанатомических исследований;

-        оказания доврачебной помощи: гистология;

-        оказания стационарной помощи, в том числе в условиях дневного стационара.

3.3.4. Оператор осуществляет обработку ПДн лиц, обратившихся к Оператору в целях:

-        исполнения положений нормативных актов, указанных в п. 1.1.2 настоящей Политики;

-        исполнения обязанностей и функций учреждения здравоохранения;

-        исполнения обязанностей и функций патологоанатомического бюро;

-        выдачи заключений о причине смерти или диагнозе заболевания пациента.

3.4.   Биометрические ПДн

3.4.1. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические ПДн) Оператором не обрабатываются.

3.5.   Специальные категории ПДн

3.5.1. Сведения, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни (специальные категории ПДн) Оператором не обрабатываются, за исключением случаев, указанных в п. 3.5.2 настоящей Политики.

3.5.2. Оператором обрабатываются сведения о состоянии здоровья пациентов Оператора, в том числе умерших. Обработка ПДн осуществляется в соответствии с ФЗ «Об основах охраны здоровья граждан в Российской Федерации» в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при этом, обработка ПДн осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну.

4.     Обработка персональных данных

4.1.   Общие сведения

4.1.1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, определенных ст. 5 ФЗ «О персональных данных».

4.1.2. Обработка Оператором ПДн субъектов ПДн осуществляется как с использованием средств вычислительной техники (автоматизированная обработка), так и без использования таких средств (неавтоматизированная обработка), с передачей по внутренней сети Оператора, без передачи по сети Интернет.

4.1.3. ПДн субъектов ПДн используются Оператором в соответствии с теми целями, для которых они собираются.

4.1.4. Обработка ПДн осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, передачи (распространения, предоставления, доступа), обезличивания, блокирования, удаления и уничтожения ПДн.

4.2.   Сбор ПДн

4.2.1. ПДн субъектов ПДн Оператор получает напрямую от субъектов ПДн, за исключением случаев, когда ПДн пациента предоставляются лечебно-профилактическим учреждением для проведения патологоанатомического исследования или установления медицинского диагноза.

4.2.2. В случае возникновения необходимости получения ПДн субъекта ПДн от третьей стороны, Оператор извещает об этом субъекта ПДн заранее и сообщает ему о целях, предполагаемых источниках и способах получения ПДн.

4.2.3. Для получения ПДн субъекта ПДн от третьей стороны Оператор сначала получает его письменное согласие.

4.3.   Хранение ПДн

4.3.1. Оператор хранит ПДн и их материальные носители в порядке, исключающем их утрату, неправомерное использование или несанкционированный доступ к ним.

4.3.2. Оператор хранит ПДн субъектов ПДн и их материальные носители не дольше, чем этого требуют цели их обработки и требования действующего законодательства Российской Федерации, и уничтожает их по истечению установленных сроков хранения.

4.3.3. Сроки хранения ПДн и их материальных носителей определяются в соответствии с «Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», утвержденным приказом Министерства культуры Российской Федерации от 25 августа 2010 года №558, номенклатурой дел, сроком исковой давности, а также иными требованиями законодательства Российской Федерации.

4.3.4. При обработке ПДн на бумажных носителях Оператором обеспечивается выполнение требований «Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 года №687.

4.3.5. При обработке ПДн на машинных носителях или в информационных системах персональных данных (ИСПДн) Оператором обеспечивается выполнение «Требований к защите персональных данных при их обработке в информационных системах персональных данных», утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 года №1119.

4.4.   Передача ПДн

4.4.1. В целях соблюдения законодательства Российской Федерации, для достижения указанных в п. п. 3.3.1-3.3.4 настоящей Политики целей обработки, а также в интересах и с согласия субъектов ПДн, Оператор в ходе своей деятельности предоставляет ПДн субъектов ПДн следующим организациям:

-        Федеральной налоговой службе России;

-        Федеральному казначейству;

-        Федеральной инспекции труда;

-        Органам прокуратуры и ФСБ;

-        Правоохранительным органам;

-        Пенсионному фонду России;

-        Государственным и муниципальным органам управления;

-        Негосударственным пенсионным фондам;

-        Страховым компаниям;

-        ОАО «Сбербанк»;

-        Органам лицензирования и сертификации;

-        Органам статистики;

-        Медицинским учреждениям;

-        Военкомату;

-        Органам статистики;

-        лицу, осуществляющему обработку ПДн по поручению Оператора (см. п. 4.7 настоящей Политики).

4.5.   Трансграничная передача ПДн

4.5.1. Передача ПДн на территорию иностранных государств, органам власти иностранных государств, иностранным физическим или юридическим лицам (трансграничная передача ПДн) Оператором не осуществляется.

4.6.   Общедоступные источники ПДн

4.6.1. Оператор не осуществляет формирование общедоступных источников ПДн в соответствии со ст. 8 ФЗ «О персональных данных».

4.7.   Поручение обработки ПДн

4.7.1. Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.

4.7.2. Оператор поручает обработку ПДн Государственному бюджетному учреждению здравоохранения Республики Коми «Республиканский центр по профилактике и борьбе со СПИДом и  инфекционными заболеваниями» (далее – Уполномоченное лицо) на основании договора на ведение бухгалтерского учета и отчетности.

4.7.3. Уполномоченное лицо соблюдает конфиденциальность полученных от Оператора ПДн субъектов ПДн и обеспечивает их безопасность при обработке в соответствии с требованиями Правительства Российской Федерации.

4.7.4. Субъект ПДн имеет право получить сведения о работниках Уполномоченного лица (Ф. И. О., должность, рабочий телефон), которые имеют доступ к его ПДн.

5.     Права субъектов ПДн

5.1.  Субъект ПДн имеет право на получение сведений об обработке его ПДн Оператором.

5.2.  Субъект ПДн вправе требовать от Оператора уточнения своих ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

5.3.  Субъекты ПДн имеют право запрашивать у Оператора следующие сведения:

-        подтверждение факта обработки ПДн Оператором;

-        правовые основания и цели обработки ПДн;

-        используемые Оператором способы обработки ПДн;

-        наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;

-        обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

-        сроки обработки ПДн, в том числе сроки их хранения;

-        порядок осуществления субъектом ПДн прав, предусмотренных законодательством Российской Федерации;

-        информацию об осуществленной или о предполагаемой трансграничной передаче данных;

-        наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;

-        иные сведения, предусмотренные законодательством Российской Федерации.

5.4.  Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами.

5.5.  Для реализации своих прав и защиты законных интересов (см. п. 5.1-5.3 настоящей Политики), субъект ПДн имеет право обратиться к Оператору. Оператор рассматривает любые обращения и жалобы со стороны субъектов ПДн, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.

5.6.  Субъект ПДн вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов ПДн (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), Управление по защите прав субъектов ПДн) или в судебном порядке.

5.7.  Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

5.8.  Субъект ПДн имеет право в любое время отозвать свое согласие на обработку ПДн, обратившись к Оператору.

6.     Защита персональных данных

6.1.  Оператор гарантирует конфиденциальность ПДн и предоставляет доступ к ним только уполномоченным работникам, подписавшим обязательство о неразглашении ПДн.

6.2.  Все работники Оператора, имеющие доступ к ПДн, соблюдают правила их обработки и исполняют требования по их защите.

6.3.  Оператор принимает все необходимые правовые, организационные и инженерно-технические меры, достаточные для защиты ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ними со стороны третьих лиц.

6.4.  Обеспечение ПДн достигается в частности:

-        назначением ответственных за организацию обработки и защиты ПДн;

-        осуществлением внутреннего контроля и (или) аудита соответствия обработки ПДн ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, локальным актам;

-        ознакомлением работников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, локальными актами в отношении обработки ПДн, и (или) обучением указанных работников.

-        определением угроз безопасности ПДн при их обработке в ИСПДн;

-        применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн;

-        оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;

-        учетом машинных носителей ПДн;

-        обнаружением фактов несанкционированного доступа к ПДн и принятием мер;

-        восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

-        установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;

-                    контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровней защищенности ИСПДн.

7.     Контактная информация

7.1.   Оператор

7.1.1. Ответственное лицо Оператора за организацию обработки и защиты ПДн: специалист О/К – Страшко Евгения Михайловна.

7.1.2. Почтовый адрес: 167610, Республика Коми, г. Сыктывкар, ул. Гаражная, 8.

7.1.3. Контактный телефон: (8212) 312-993.

7.1.4. Электронная почта: gurkpab@yandex.ru.

7.1.5. Все вопросы и предложения по внесению изменений или дополнений в настоящую Политику следует направлять на имя ответственного за организацию обработки и защиты ПДн по указанному выше контактному телефону, почтовому адресу или адресу электронной почты.

7.2.   Территориальный орган Роскомнадзора по республике Коми

7.2.1. Руководитель Управления: Вежев Владимир Александрович.

7.2.2. Почтовый адрес: 167981, Республика Коми, г. Сыктывкар, ул. Коммунистическая, 17.

7.2.3. Контактный телефон: (8212) 216-800.

7.2.4. Электронная почта: rsockanc11@rsoc.ru.

7.2.5. Официальный сайт: www.11.rsoc.ru.