ПОЛОЖЕНИЕ
об обработке и защите персональных данных
1. Общие положения
1.1. Положение об обработке и защите персональных данных (далее — Положение) определяет порядок сбора, хранения, передачи и любого другого использования персональных данных субъектов персональных данных Государственного бюджетного учреждения здравоохранения «Детская городская поликлиника № 1 г. Магнитогорск» (далее — ГБУЗ «ДГП № 1 г. Магнитогорск»), и/или их законных представителей в соответствии с законодательством Российской Федерации. Целью данного Положения является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.2. Положение разработано в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации, Федеральным законом от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных» (ред. От 25.07.2011), Требованиями к защите персональных данных при их обработке в информационных системах персональных данных (Постановление Правительства от 01 ноября 2012 г. № 1119), Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации (Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687), иными нормативными актами, действующими на территории Российской Федерации.
1.3. Для целей настоящего Положения используются следующие основные понятия:
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), удаление, уничтожение персональных данных.
Учет персональных данных — все процедуры по записи, систематизации и накоплению информации персонального характера.
Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Информационная система — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.4. Настоящее Положение утверждается и вводится в действие Главным врачом ГБУЗ «ДГП № 1 г. Магнитогорск» и является обязательным для исполнения всеми сотрудниками, имеющими доступ к персональным данным субъектов персональных данных и/или их законных представителей.
2. Принципы обработки персональных данных в ГБУЗ «ДГП № 1 г. Магнитогорск»
2.1. Персональные данные относятся к конфиденциальной информации, порядок работы с ними регламентирован Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и осуществляется с соблюдением строго определенных правил и условий.
2.2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.
2.2.1. Персональные данные обрабатываются в ИСПДн «Сотрудники» в целях начисления и выплаты заработной платы и иных выплат, установленных законодательством Российской Федерации и иными нормативно-правовыми и внутренними локальными нормативными актами, организации учета сотрудников для обеспечения соблюдения их законных прав, и исполнения обязанностей, установленных Трудовым кодексом Российской Федерации, Налоговым кодексом Российской Федерации и иными нормативно-правовыми и внутренними локальными нормативными актами, обеспечения управленческой деятельности ГБУЗ «ДГП № 1 г. Магнитогорск».
2.2.2. Персональные данные обрабатываются в ИСПДн «Пациенты» в целях исполнения законодательства Российской Федерации в области социальной защиты проживающих в интернате путем стабильного материально-бытового обеспечения и создания наиболее адекватных их возрасту и состоянию здоровья условий жизнедеятельности.
2.3. Обработке подлежат только персональные данные, которые отвечают целям их обработки.
2.4. Обработка персональных данных осуществляется с письменного согласия субъекта на обработку его персональных данных.
2.5. Обработка персональных данных возможна без согласия субъекта персональных данных, если персональные данные являются общедоступными.
2.6. Согласие субъекта персональных данных не требуется в следующих случаях:
— обработка персональных данных осуществляется на основании Трудового кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определенного полномочия работодателя;
— обработка персональных данных осуществляется в целях исполнения трудового договора.
— если обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
— если обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее — исполнение судебного акта);
— если обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
— если обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, а получение согласия субъекта персональных данных невозможно;
— если обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
— если обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
— если обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных;
— если осуществляется обработка персональных данных, доступ неограниченного круга лиц, к которым предоставлен субъектом персональных данных либо по его просьбе;
— если осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
2.7. В случае отзыва субъектом персональных данных согласия на обработку персональных данных ГБУЗ «ДГП № 1 г. Магнитогорск» вправе продолжить обработку персональных данных без согласия субъекта персональных данных для осуществления и выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей, для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица или для исполнения договора, стороной которого либо выгодоприобретателем, поручителем или залогодателем по которому является субъект персональных данных.
2.8. ГБУЗ «ДГП № 1 г. Магнитогорск» обязан не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
2.9. Обработка персональных данных осуществляется путем документирования на материальных (бумажных) носителях и в электронном виде в локальной компьютерной сети с помощью прикладного программного обеспечения.
3. Понятие и состав персональных данных
3.1. Понятие и состав персональных данных для ИС «Сотрудники» ГБУЗ «ДГП № 1 г. Магнитогорск».
3.1.1. Персональные в ИС «Сотрудники» — любая информация, касающаяся конкретного физического лица (субъекта персональных данных), необходимая ГБУЗ «ДГП № 1 г. Магнитогорск» для достижения целей, указанных в пп. 2.2.1 настоящего Положения.
3.1.2. К персональным данным, обрабатываемым в ИС «Сотрудники» относятся:
— фамилия, имя, отчество;
— паспортные данные;
— дата рождения;
— место рождения;
— место жительства;
— адрес по прописке;
— страховой номер индивидуального лицевого счета;
— идентификационный номер налогоплательщика;
— сведения о трудовой деятельности;
— сведения об образовании, в том числе данные об образовательных организациях и о документах об образовании и (или) о квалификации;
— сведения о наградах и благодарственных документах;
— занимаемая должность в организации;
— сведения о заработной плате;
— сведения о расчетном счете;
— контактные данные;
— сведения о временной нетрудоспособности;
— сведения о социальных льготах и социальном статусе;
— сведения о семейном положении;
— сведения о составе семьи;
— иные сведения о сотруднике, содержащиеся в личной карточке сотрудника (форма Т-2);
— занимаемая должность в организации.
3.2. Понятие и состав персональных данных для ИС «Сотрудники» ГБУЗ «ДГП № 1 г. Магнитогорск».
3.2.1. Персональные в ИС «Пациенты» — любая информация, касающаяся конкретного физического лица (субъекта персональных данных), необходимая ГБУЗ «ДГП № 1 г. Магнитогорск» для достижения целей, указанных в пп. 2.2.2 настоящего Положения.
3.2.2. К персональным данным, обрабатываемым в ИС «Пациенты» относятся:
— фамилия, имя, отчество (последнее — при наличии);
— пол;
— дата рождения;
— место рождения;
— гражданство;
— данные документа, удостоверяющего личность;
— место жительства;
— место регистрации;
— дата регистрации;
— номер полиса обязательного медицинского страхования застрахованного лица (при наличии);
— анамнез;
— диагноз;
— сведения об организации, оказавшей медицинские услуги;
— вид оказанной медицинской помощи;
— условия оказания медицинской помощи;
— сроки оказания медицинской помощи;
— объем оказанной медицинской помощи;
— результат обращения за медицинской помощью;
— серия и номер выданного листка нетрудоспособности (при наличии);
— сведения об оказанных медицинских услугах;
— примененные порядки и стандарты медицинской помощи;
— сведения о медицинском работнике или медицинских работниках, оказавших медицинскую услугу.
Персональные данные законных представителей:
— фамилия, имя отчество;
— степень родства;
— серия, номер документа, удостоверяющего личность, дата выдачи документа, кем выдан;
— адрес регистрации (места жительства);
— контактный телефон.
4. Обработка персональных данных в ГБУЗ «ДГП № 1 г. Магнитогорск»
4.1. Сбор персональных данных
4.1.1. Персональные данные субъектов предоставляются субъектом персональных данных лично или их законными представителями.
4.1.2. В случае, когда персональные данные возможно получить только у третьей стороны, субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
4.1.3. Субъект персональных данных обязан предоставлять в достоверную персональную информацию. При изменении персональных данных должен письменно уведомить об этом ГБУЗ «ДГП № 1 г. Магнитогорск» в срок, не превышающий 3 дней.
4.1.4. ГБУЗ «ДГП № 1 г. Магнитогорск» имеет право запрашивать у субъекта персональных данных дополнительные сведения и документы, подтверждающие их достоверность.
4.1.5. ГБУЗ «ДГП № 1 г. Магнитогорск» не имеет права получать и обрабатывать персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни субъекта персональных данных.
4.2. Хранение персональных данных
4.2.1. Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.
4.2.2. Конкретные обязанности по хранению сведений о субъектах персональных данных, заполнению, хранению и выдаче документов, ведению информационной базы персональных данных отражающих персональные данные, возлагаются на сотрудников ГБУЗ «ДГП № 1 г. Магнитогорск» и закрепляются в должностных инструкциях.
4.2.3. Допуск к персональным данным разрешен должностным лицам, которым персональные данные необходимы для выполнения конкретных трудовых функций. Список лиц, имеющих право доступа к персональным данным, утверждается Главным врачом ГБУЗ «ДГП № 1 г. Магнитогорск».
4.2.4. Обработка и хранение сведений персонального характера на материальных носителях осуществляется на основании Постановления Правительства Российской Федерации от 15 сентября 2008 г. N 687 «Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», «Инструкции по обработке персональных данных без использования средств автоматизации» и настоящего Положения.
4.2.5. Обработка и хранение сведений персонального характера в информационных системах ГБУЗ «ДГП № 1 г. Магнитогорск» осуществляется с использованием программного обеспечения на основании Постановления Правительства РФ от 01 ноября 2012 г. № 1119 «Требования к защите персональных данных при их обработке в информационных системах персональных данных» и настоящего Положения.
4.2.6. Доступ к программному обеспечению, а также к персональной информации, хранящейся в информационных системах ГБУЗ «ДГП № 1 г. Магнитогорск», строго регламентирован инструкциями пользователей и осуществляется при введении пароля и предъявлении персонального идентификатора пользователя (логина).
4.2.7. Хранение персональных данных осуществляться не дольше, чем этого требуют цели обработки персональных данных, если срок хранения не установлен федеральным законом.
4.3. Передача персональных данных
4.3.1. ГБУЗ «ДГП № 1 г. Магнитогорск» обязуется не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
4.3.2. Передача персональных данных субъектов персональных данных в пределах ГБУЗ «ДГП № 1 г. Магнитогорск» осуществляется в соответствии с должностными инструкциями и руководящими документами ГБУЗ «ДГП № 1 г. Магнитогорск».
4.3.2. Должностные лица ГБУЗ «ДГП № 1 г. Магнитогорск», в обязанности которых входит работа с персональными данными субъектов персональных данных обеспечивают защиту персональных данных от несанкционированного доступа и копирования.
4.3.4. Передача персональных данных субъектов разрешена только специально уполномоченным лицам и организациям, при этом указанные лица и организации должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.
4.3.5. ГБУЗ «ДГП № 1 г. Магнитогорск» имеет право передавать персональные данные субъекта его законным, полномочным представителям в порядке, установленном законодательством, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции.
4.3.6. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону, факсу или электронной почте.
4.4. Уничтожение персональных данных
4.4.1. Структурным подразделением ГБУЗ «ДГП № 1 г. Магнитогорск», ответственным за документооборот и архивирование, осуществляется систематический контроль и выделение документов, содержащих персональные данные, с истекшими сроками хранения, подлежащих уничтожению.
4.4.2. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании экспертной комиссии ГБУЗ «ДГП № 1 г. Магнитогорск», состав которой утверждается приказом Главного врача ГБУЗ «ДГП № 1 г. Магнитогорск».
4.4.3. Должностное лицо ГБУЗ «ДГП № 1 г. Магнитогорск», определенное комиссией, осуществляет (или организует) процедуру уничтожения документов (сжигание, химическое уничтожение, физическое разрушение).
4.4.4. По окончании процедуры уничтожения должностным лицом ГБУЗ «ДГП № 1 г. Магнитогорск», составляется соответствующий Акт об уничтожении документов, содержащих персональные данные и подписывается комиссией.
4.4.5. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.
4.5. Сроки обработки и хранения персональных данных
4.5.1. Сроки обработки и хранения персональных данных сотрудников ГБУЗ «ДГП № 1 г. Магнитогорск», определяются в соответствии с законодательством Российской Федерации.
Персональные данные, содержащиеся в приказах на сотрудников ГБУЗ «ДГП № 1 г. Магнитогорск» (о приеме, о переводе, об увольнении, об установлении надбавок), подлежат хранению в кадровом подразделении ГБУЗ «ДГП № 1 г. Магнитогорск» в течение двух лет, с последующим формированием и передачей указанных документов в архив ГБУЗ «ДГП № 1 г. Магнитогорск» или государственный архив в порядке, предусмотренном законодательством Российской Федерации, где хранятся в течение 75 лет.
Персональные данные, содержащиеся в личных делах сотрудников ГБУЗ «ДГП № 1 г. Магнитогорск», хранятся в кадровом подразделении ГБУЗ «ДГП № 1 г. Магнитогорск» в течение десяти лет, с последующим формированием и передачей указанных документов в архив ГБУЗ «ДГП № 1 г. Магнитогорск» или государственный архив в порядке, предусмотренном законодательством Российской Федерации, где хранятся в течение 75 лет.
Персональные данные, содержащиеся в приказах о предоставлении отпусков, о краткосрочных внутрироссийских и зарубежных командировках, о дисциплинарных взысканиях сотрудников ГБУЗ «ДГП № 1 г. Магнитогорск», подлежат хранению в кадровом подразделении ГБУЗ «ДГП № 1 г. Магнитогорск» в течение пяти лет с последующим уничтожением.
Персональные данные, содержащиеся в документах соискателей на вакантные должности в ГБУЗ «ДГП № 1 г. Магнитогорск», хранятся в кадровом подразделении ГБУЗ «ДГП № 1 г. Магнитогорск» в течение 3 лет со дня завершения конкурса, после чего подлежат уничтожению.
4.5.2. Персональные данные граждан, обратившихся в ГБУЗ «ДГП № 1 г. Магнитогорск» лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, хранятся в течение пяти лет.
4.5.3. Персональные данные, предоставляемые субъектами на бумажном носителе в связи с предоставлением ГБУЗ «ДГП № 1 г. Магнитогорск» услуг, хранятся на бумажных носителях в структурных подразделениях ГБУЗ «ДГП № 1 г. Магнитогорск», к полномочиям которых относится обработка персональных данных в связи с предоставлением услуг, в соответствии с утвержденными положениями о соответствующих структурных подразделениях ГБУЗ «ДГП № 1 г. Магнитогорск».
4.5.4. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
4.5.5. Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных настоящим Положением.
4.5.6. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители структурных подразделений ГБУЗ «ДГП № 1 г. Магнитогорск».
4.5.7. Срок хранения персональных данных, внесенных в информационных системах ГБУЗ «ДГП № 1 г. Магнитогорск», указанных в пункте 3 настоящего Положения, должен соответствовать сроку хранения бумажных оригиналов.
5. Права субъекта персональных данных по обеспечению защиты своих персональных данных
Субъекты персональных данных имеют право:
5.1. Получать бесплатный доступ к своим персональным данным и ознакомление с ними.
5.2. Требовать уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для ГБУЗ «ДГП № 1 г. Магнитогорск» персональных данных.
5.3. Получать от ГБУЗ «ДГП № 1 г. Магнитогорск»:
— сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
— перечень обрабатываемых персональных данных и источник их получения;
— цели и сроки обработки персональных данных, в том числе сроки их хранения;
— сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
5.4. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия ГБУЗ «ДГП № 1 г. Магнитогорск» при обработке и защите их персональных данных.
5.5. Требовать исключения или исправления неверных, или неполных персональных данных, а также данных, обработанных с нарушением требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
5.6. Требовать извещения силами ГБУЗ «ДГП № 1 г. Магнитогорск» всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях.
5.7. Отзывать согласие на обработку персональных данных.
6. Обязанности и ответственность ГБУЗ «ДГП № 1 г. Магнитогорск» за нарушение норм, регулирующих обработку и защиту персональных данных
6.1. ГБУЗ «ДГП № 1 г. Магнитогорск» обязан:
— предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных;
— назначить Ответственного за организацию обработки персональных данных, Администратора информационной безопасности и Ответственного за эксплуатацию информационных систем персональных данных;
— применять правовые, организационные и технические меры по обеспечению безопасности персональных данных;
— разработать документы (Положения, инструкции, приказы, распоряжения, должностные инструкции), определяющие политику ГБУЗ «ДГП № 1 г. Магнитогорск» в отношении обработки и защиты персональных данных;
— осуществлять внутренний контроль соответствия обработки персональных данных требованиям к их защите;
— ознакомить сотрудников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику ГБУЗ «ДГП № 1 г. Магнитогорск» в отношении обработки персональных данных, организовать обучение сотрудников, обрабатывающих персональные данные;
— обеспечить неограниченный доступ к данному Положению.
6.2. Сотрудники, в соответствии со своими полномочиями владеющие информацией о субъектах персональных данных, получающие и использующие ее, несут персональную ответственность за нарушение режима защиты, обработки и порядка использования этой информации.
6.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта персональных данных, несут ответственность в соответствии с законодательством РФ:
— дисциплинарную;
— материальную;
— гражданско-правовую;
— административную;
— уголовную.
6.4. За нарушение порядка обращения с персональными данными Главный врач ГБУЗ «ДГП № 1 г. Магнитогорск» несет административную ответственность согласно ст. 5.27, 5.39, 5.53 КоАП РФ, а также возмещает субъекту персональных данных ущерб, причиненный неправомерным использованием информации, содержащей персональные данные об этом субъекте.
7. Контроль за обработкой персональных данных
7.1. Контроль и надзор за обработкой персональных данных в ГБУЗ «ДГП № 1 г. Магнитогорск» осуществляет Ответственный за организацию обработки персональных данных, назначаемый приказом Главного врача ГБУЗ «ДГП № 1 г. Магнитогорск».
7.2. Ответственный за организацию обработки персональных данных, получает указания непосредственно от Главного врача ГБУЗ «ДГП № 1 г. Магнитогорск» и подотчетно ему.
7.3. Ответственный за организацию обработки персональных данных, обязано:
1) осуществлять внутренний контроль за соблюдением сотрудниками ГБУЗ «ДГП № 1 г. Магнитогорск» законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных;
2) доводить до сведения сотрудников ГБУЗ «ДГП № 1 г. Магнитогорск» положения законодательства Российской Федерации о персональных данных, локальных актов по вопросам обработки персональных данных, требований к защите персональных данных;
3) организовывать прием и обработку обращений и запросов субъектов персональных данных или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
8. Заключительные положения
8.1. Положение обязательно для всех сотрудников ГБУЗ «ДГП № 1 г. Магнитогорск», обрабатывающих персональные данные.
8.2. Указанные в п.8.1 сотрудники должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки и защиты персональных данных, а также об их правах и обязанностях в этой области.
