ПОЛИТИКА

в отношении обработки персональных данных в государственном учреждении здравоохранения «Саратовская городская клиническая больница № 9»

1.       Общие положения

1.1       Настоящий документ определяет политику государственного учреждения здравоохранения «Саратовская городская клиническая больница № 9» (далее ‑ Учреждение) как оператора, осуществляющего обработку персональных данных, в отношении обработки и защиты персональных данных.

1.2     Политика в отношении обработки персональных данных (далее – Политика) разработана в целях обеспечения выполнения требований законодательства Российской Федерации (далее ‑ законодательства РФ) в области обработки персональных данных, направленного на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, в частности в целях защиты от несанкционированного доступа и неправомерного распространения персональных данных, обрабатываемых в информационных системах Учреждения.

1.3    Политика действует в отношении информации, относящейся к персональным данным субъектов, которую Учреждение получает о субъекте персональных данных в процессе предоставления услуг или исполнения договорных обязательств.

1.4    Настоящая Политика раскрывает состав субъектов персональных данных, принципы, порядок и условия обработки персональных данных работников Учреждения и иных лиц, чьи персональные данные обрабатываются Учреждением, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

1.5    Персональные данные относятся к категории конфиденциальной информации, строго охраняемой информацией и на них распространяются все требования, установленные внутренними документами Учреждения по защите конфиденциальной информации.

2.       Законодательные и иные нормативные правовые акты Российской Федерации, в соответствии с которыми определяется Политика

обработки персональных данных в Учреждении

2.1.      Политика обработки персональных данных в Учреждении определяется в соответствии со следующими нормативными правовыми актами:

-      Трудовой кодекс Российской Федерации;

-      Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

-      Указ Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;

-      постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

-      постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;

-      постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119

-      «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

-      приказ ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13 февраля 2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных»;

-      приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

-      приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;

-       иные нормативные правовые акты Российской Федерации и нормативные документы уполномоченных органов государственной власти.

2.2.      В целях реализации положений Политики в Учреждении разрабатываются соответствующие локальные нормативные акты и иные документы, в том числе:

-        перечень персональных данных, обрабатываемых в Учреждении;

-        перечень должностей, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;

-        правила обработки персональных данных в Учреждении;

-        иные локальные нормативные акты и документы, регламентирующие в Учреждении вопросы обработки и защиты персональных данных.

3.       Основные термины и определения, используемые в локальных нормативных актах Учреждения, регламентирующих вопросы

обработки персональных данных

Безопасность персональных данных - защищенность персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Конфиденциальность персональных данных - обязательное для соблюдения Учреждением-оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемые с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

4.       Принципы, цели и условия обработки персональных данных

4.1.         Учреждение, являясь оператором персональных данных, осуществляет обработку персональных данных работников Учреждения и других субъектов персональных данных, не состоящих с Учреждением в трудовых отношениях.

4.2.      Обработка персональных данных в Учреждении осуществляется с учетом необходимости обеспечения защиты прав и свобод работников Учреждения и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

-    обработка персональных данных осуществляется в Учреждении на законной и справедливой основе;

-       обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;

-    не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

-     не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

-    обработке подлежат только персональные данные, которые отвечают целям их обработки;

-       содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;

-     при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Учреждением принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных, или неточных персональных данных;

-     хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;

-    обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4.3.   Персональные данные обрабатываются в Учреждении в целях:

-         обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Учреждения;

-         осуществления функций, полномочий и обязанностей, возложенных законодательством Российской Федерации на Учреждение, в том числе по предоставлению персональных данных в органы государственной власти, в Пенсионный фонд Российской Федерации, в Фонд социального страхования Российской Федерации, в Федеральный фонд обязательного медицинского страхования, а также в иные государственные органы;

-         медико-профилактических целях, в целях установления медицинского диагноза, оказания и организации медицинских и медико-социальных услуг в соответствии с действующими лицензиями Учреждения на осуществление медицинской деятельности;

-         контроля количества и качества оказанных медицинских и медико-социальных услуг в Учреждении;

-         регулирования трудовых отношений с работниками Учреждения (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, осуществление безналичных платежей на счет работника, обеспечение сохранности имущества, иные задачи в соответствии с Трудовым кодексом Российской Федерации и другими нормативно-правовыми актами в сфере трудовых отношений);

-         предоставления работникам Учреждения дополнительных гарантий и компенсаций, в том числе негосударственного пенсионного обеспечения, добровольного медицинского страхования, медицинского обслуживания и других видов социального обеспечения;

-         защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;

-         подготовки, заключения, исполнения и прекращения договоров с контрагентами;

-         формирования справочных материалов для внутреннего информационного обеспечения деятельности Учреждения;

-         исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

-         осуществления прав и законных интересов Учреждения в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Учреждения, или третьих лиц либо достижения общественно значимых целей;

-         ведения персонифицированного учета сведений о медицинской помощи в рамках исполнения программы государственных гарантий бесплатного оказания гражданам медицинской помощи;

-         организации и ведения кадрового учета и делопроизводства Учреждения;

-         выполнения финансово-экономической деятельности Учреждения.

4.4.       Обработка персональных данных осуществляется на основании условий, определенных законодательством РФ.

5.       Перечень субъектов, персональные данные которых обрабатываются в Учреждении

5.1.      Перечень персональных данных, обрабатываемых в УЧРЕЖДЕНИИ, определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами Учреждения с учетом целей обработки персональных данных, указанных в разделе 2.2 настоящей Политики.

5.2.    Учреждение, являясь оператором персональных данных, осуществляет обработку персональных данных субъектов: пациентов, сотрудников и контрагентов.

5.2.1.         Перечень персональных данных пациентов:

-       фамилия, имя, отчество (последнее - при наличии);

-        пол; дата рождения;

-        место рождения;

-        гражданство;

-        данные документа, удостоверяющего личность;

-        адрес места жительства;

-        место регистрации;

-        дата регистрации;

-        страховой номер индивидуального лицевого счета (при наличии), принятый в соответствии с законодательством Российской Федерации об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования;

-        номер полиса обязательного медицинского страхования застрахованного лица (при наличии);

-        диагноз;

-        сведения об организации, оказавшей медицинские услуги; вид оказанной медицинской помощи;

-        условия оказания медицинской помощи;

-        сроки оказания медицинской помощи;

-        объем оказанной медицинской помощи;

-        результат обращения за медицинской помощью;

-        серия и номер выданного листка нетрудоспособности (при наличии);

-        сведения об оказанных медицинских услугах;

-        примененные стандарты медицинской помощи;

-        сведения о медицинском работнике или медицинских работниках, оказавших медицинскую услугу;

-        другие данные, обработка которых не противоречит действующему законодательству, нормативным актам и настоящему Положению.

5.2.2.        Перечень персональных данных сотрудников:

-       фамилия, имя, отчество (последнее - при наличии);

-       пол; дата рождения;

-       место рождения;

-       гражданство;

-       данные документа, удостоверяющего личность;

-       адрес места жительства;

-       место регистрации;

-       дата регистрации;

-       страховой номер индивидуального лицевого счета (при наличии), принятый в соответствии с законодательством Российской Федерации об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования;

-       номер полиса обязательного медицинского страхования застрахованного лица (при наличии);

-       сведения об образовании, в том числе данные об образовательных организациях и о документах об образовании (или) о квалификации;

-       наименовании организации, оказывающей медицинские услуги;

-       занимаемая должность в организации, оказывающей медицинские услуги;

-       другие данные, обработка которых не противоречит действующему законодательству, нормативным актам и настоящему Положению.

6.       Условия и способы обработки персональных данных

6.1.            Обработка персональных данных пациента может осуществляться исключительно в медицинских целях, в целях установления диагноза, оказания медицинских услуг, оформления договорных отношений с пациентом, при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну в соответствии с законодательством Российской Федерации в области персональных данных.

6.2.         Персональные данные пациентов относятся к специальной категории персональных данных.

6.3.     Обработка специальных категорий персональных данных пациентов должна осуществляться с письменного согласия субъекта персональных данных или его законного представителя.

6.4.       Предоставление сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя допускается:

-         если пациент в результате своего состояния не способен выразить свою волю, но ему необходимо лечение;

-         при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;

-         по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органов прокуратуры в связи с осуществлением ими прокурорского надзора, по запросу органа уголовно- исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля за поведением условно

-         осужденного, осужденного, в отношении которого отбывание наказания отсрочено, и лица, освобожденного условно-досрочно;

-         в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий.

6.5.         Обработка персональных данных сотрудников может осуществляться исключительно в целях обеспечения соблюдения законодательства Российской Федерации в области персональных данных и иных нормативных правовых актов, оформления трудовых отношений, расчета и выдачи заработной платы или других доходов, налоговых и пенсионных отчислений, содействия работникам в трудоустройстве, обучении, повышении квалификации и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы, обеспечения сохранности имущества работодателя в соответствии с законодательством Российской Федерации в области персональных данных.

6.6.       Обработка персональных данных сотрудников должна осуществляться с письменного согласия субъекта персональных данных.

6.7.    Если персональные данные сотрудника, возможно получить только у третьей стороны, то сотрудник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

6.8.    Обработка персональных данных контрагентов - физических лиц (в том числе физических лиц, являющихся индивидуальными предпринимателями), с которыми непосредственно у Учреждения заключен договор, может осуществляться без согласия на обработку персональных данных при условии, что эти данные не будут распространяться и предоставляться третьим лицам без согласия субъекта персональных данных и будут обрабатываться только в целях исполнения заключенных с ними договоров поставки (оказания услуг).

6.9.    Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных законодательством.

6.10.    Обработка персональных данных в Учреждении осуществляется следующими способами:

-         неавтоматизированная обработка персональных данных;

-         автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

-         смешанная обработка персональных данных.

6.11.    Информация о персональных данных может содержаться:

-         на бумажных носителях;

-         в информационно-телекоммуникационных сетях и иных информационных системах Учреждения.

7.       Меры по обеспечению защиты персональных данных

Учреждение-оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры (или обеспечивает их принятие) для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в соответствии с действующим законодательством и нормативными актами Учреждения.

7.1.                  Обеспечение безопасности персональных данных при их неавтоматизированной обработке в Учреждении достигается, в частности:

-         хранением текущей и архивной документации, содержащей персональные данные в помещениях Учреждения, предназначенных для хранения документации, в соответствии с действующим законодательством и внутренними нормативными актами;

-         обеспечением кабинетов, где хранятся документы, содержащие персональные данные, сейфами и запираемыми шкафами, оборудованными для опечатывания;

-         хранением персональных данных не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении;

-         хранением документов в течение установленных действующими нормативными актами сроков хранения данных документов. По истечении установленных сроков хранения документы подлежат уничтожению;

-         обособлением персональных данных, обрабатываемых без использования средств автоматизации, от иной информации, в частности путем их фиксации на отдельных материальных носителях персональных данных, в специальных разделах;

-         обеспечением раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных;

-         ограничением доступа к персональным данным лицам, не уполномоченным Федеральным законодательством, либо нормативными актами Учреждения для получения соответствующих сведений.

7.2.    Обеспечение безопасности персональных данных при их автоматизированной обработке в Учреждении достигается, в частности:

-         определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

-         применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

-         применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

-         оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

-         учетом машинных носителей персональных данных;

-         обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

-         восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

-         установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

-         контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;

7.3.       При смешанной обработке персональных данных их защита достигается реализацией комплекса вышеперечисленных мер.

8.       Права субъектов персональных данных

Субъекты персональных данных имеют право на:

-              полную информацию об их персональных данных, обрабатываемых в Учреждении;

-              доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных федеральным законом, а также на доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;

-              уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

-              отзыв согласия на обработку персональных данных;

-              принятие предусмотренных законом мер по защите своих прав;

-              обжалование действия или бездействия Учреждения, осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;

-              осуществление иных прав, предусмотренных законодательством Российской Федерации.

9.   Гарантии конфиденциальности

Субъекты персональных данных - сотрудники Учреждения, пациенты (их законные представители) и контрагенты, передавая сведения о себе, вправе рассчитывать на соблюдение конфиденциальности при использовании данной информации в Учреждении.

9.1.    Информация, относящаяся к персональным данным, ставшая известной в связи с реализацией трудовых отношений, является конфиденциальной информацией и охраняется законом.

9.2.          Сотрудники и иные лица, получившие доступ к обрабатываемым персональным данным, предупреждены о возможной дисциплинарной, административной, гражданско-правовой или уголовной ответственности в случае нарушения норм и требований действующего законодательства, регулирующего правила обработки и защиты персональных данных.

9.3.        Оператор и иные лица, получившие доступ к персональным данным пациентов, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

9.4.           Хранение персональных данных должно происходить в порядке, исключающем их утрату или неправомерное использование.

9.5.         Срок хранения персональных данных пациентов определяется целью обработки персональных данных. По истечению срока хранения или утраты цели обработки персональные данные подлежат уничтожению, обезличиванию или передаче в архив.

10.   Заключительные положения

11.1.      Настоящая Политика вступает в силу с даты ее утверждения Приказом главного врача.

11.2.      Настоящая Политика распространяется на всех пациентов и сотрудников Учреждения.

11.3.      Пациенты Учреждения, а также их законные представители, имеют право ознакомится с настоящей Политикой.

11.4.    В обязанности сотрудников, осуществляющих первичный сбор персональных данных пациента, входит получение согласия пациента на обработку его персональных данных под личную подпись.

11.5.    В обязанности Учреждения входит ознакомление сотрудников с настоящей Политикой и лиц, принимаемых на работу, под личную подпись.

Политика обработки персональных данных