Политика в отношении персональных данных

Политика в отношении обработки персональных данных в КГБУЗ «Павловская ЦРБ»
________________________________________
Общие положения
________________________________________
КГБУЗ «Павловская ЦРБ» осуществляет свою деятельность в соответствии с действующим законодательством Российской Федерации по направлениям, обозначенным в полученных лицензиях на осуществление медицинской деятельности. Оказание медицинских услуг предполагает обработку и хранение персональных данных пациентов и работников. В соответствии с действующим законодательством наша организация выполнила комплекс технических и организационных мероприятий для обеспечения безопасности обрабатываемых и хранимых персональных данных.
________________________________________
Одна из приоритетных задач в работе организации — соблюдение действующего законодательства Российской Федерации в области информационной безопасности, а так же требований федерального закона от 27.06.2006 года №152-ФЗ «О персональных данных», основной целью которого является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
________________________________________
В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фотография, фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии, обучении, научной степени и иные персональные данные, сообщаемые субъектом персональных данных размещаются с согласия субъекта.
________________________________________
Правовые основания обработки персональных данных
________________________________________
Политика Оператора в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами РФ:
o Конституцией Российской Федерации;
o Трудовым кодексом Российской Федерации;
o Гражданским кодексом Российской Федерации;
o Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
o Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
o Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
o Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
o Приказам ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
o Обработка персональных данных субъектов персональных данных осуществляется для решения следующих задач:
o осуществление расчетов с ТФОМС и страховыми организациями за оказание медицинских услуг застрахованным;
o формирование отчетов по поликлинике;
o назначение и начисление счетов на оказание услуг и иных выплат;
o бухгалтерский учет и контроль финансово-хозяйственной деятельности Оператора и исполнения финансовых обязательств по заключенным договорам;
o обработка амбулаторных карт (в т.ч. в электронной форме);
o поддержание контактов с законными представителями субъекта персональных данных;
o проведение лечебно-профилактических мероприятий;
o ведение кадровой работы;
o иные задачи, необходимые для повышения качества и эффективности деятельности Учреждения.
________________________________________
Принципы обработки персональных данных
________________________________________
При обработке персональных данных КГБУЗ «Павловская ЦРБ» придерживается следующих принципов:
________________________________________
o соблюдение законности получения, обработки, хранения, а также других действий с персональными данными;
o обработка персональных данных исключительно с целью исполнения своих обязательств по договору оказания услуг, а также по трудовому договору;
o сбор только тех персональных данных, которые минимально необходимы для достижения заявленных целей обработки;
o выполнение мер по обеспечению безопасности персональных данных при их обработке и хранении;
o соблюдение прав субъекта персональных данных на доступ к его персональным данным;
o соответствие сроков хранения персональных данных заявленным целям обработки.
________________________________________
Конфиденциальность персональных данных
________________________________________
Работники организации и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
________________________________________
Состав персональных данных
________________________________________
В состав обрабатываемых в компании персональных данных субъектов могут входить:
________________________________________
o фамилия, имя, отчество;
o пол;
o дата рождения или возраст;
o паспортные данные;
o адрес проживания;
o номер телефона, факса, адрес электронной почты (по желанию);
o информация о состоянии здоровья;
o другая информация, необходимая для правильного проведения и интерпретации медицинских исследований;
o результаты выполненных медицинских исследований;
o другая информация, необходимая для выполнения обязательств организации в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях, законодательством об обязательных видах страхования, со страховым законодательством.
________________________________________
КГБУЗ «Павловская ЦРБ» осуществляет обработку данных о состоянии здоровья пациентов в целях оказания медицинских услуг, установления медицинского диагноза при этом обработка персональных данных осуществляется лицами, профессионально занимающимися медицинской деятельностью и обязанными в соответствии с законодательством Российской Федерации сохранять врачебную тайну.
________________________________________
КГБУЗ «Павловская ЦРБ» осуществляет обработку данных о состоянии здоровья работников организации в соответствии с трудовым законодательством Российской Федерации.
________________________________________
Сбор (получение) персональных данных
________________________________________
Персональные данные субъектов Учреждение получает только лично от субъекта или от его законного представителя. Персональные данные субъекта могут быть получены с его слов и не проверяются. Субъект дает письменное согласие на обработку персональных данных.
________________________________________
Обработка персональных данных
________________________________________
Обработка персональных данных в Учреждении происходит как неавтоматизированным, так и автоматизированным способом.
К обработке персональных данных в Учреждении допускаются только работники прошедшие определенную процедуру допуска, к которой относятся:
o ознакомление работника с локальными нормативными актами организации (положения, инструкции и т.д.), строго регламентирующими порядок и процедуру работы с персональными данными;
o взятие с работника обязательства о неразглашении в отношении персональных данных при работе с ними.
o получение работником и использование в работе индивидуальных атрибутов доступа к информационным системам компании, содержащим в себе персональные данные. При этом каждому работнику выдаются минимально необходимые для исполнения трудовых обязанностей права на доступ в информационные системы.

Работники, имеющие доступ к персональным данным, получают только ту информацию, которая необходима им для выполнения конкретных трудовых функций.
________________________________________
Хранение персональных данных
________________________________________
Персональные данные субъектов хранятся в бумажном (амбулаторная карта, бланки направлений, результаты обследований и т.п.) и электронном виде. В электронном виде персональные данные субъектов хранятся в информационных системах персональных данных Учреждения, а также в архивных копиях баз данных этих систем. Порядок архивирования и сроки хранения архивных копий баз данных информационных систем персональных данных Учреждения определены в инструкции о резервном копировании, которая является обязательной для исполнения администраторами соответствующей системы.
________________________________________
При хранении персональных данных субъектов соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним. К ним относятся:
________________________________________
o назначение работника, ответственного за тот или иной способ хранения персональных данных;
o ограничение физического доступа к местам хранения и носителям;
o учет всех информационных систем и материальных носителей, а также архивных копий.
________________________________________
Передача персональных данных третьим лицам
________________________________________
Передача персональных данных третьим лицам возможна в исключительных случаях только с согласия субъекта и только с целью исполнения обязанностей перед субъектом персональных данных в рамках оказания услуг, кроме случаев, когда такая обязанность у Учреждения наступает в результате требований федерального законодательства или при поступлении запроса от уполномоченных государственных органов. В данном случае Учреждение ограничивает передачу персональных данных запрошенным объемом.
________________________________________
Персональные данные пациента (в том числе результаты исследований) могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого пациента, за исключением случаев, когда передача персональных данных без его согласия допускается действующим законодательством РФ. В качестве такого разрешения могут выступать:
o нотариально заверенная доверенность;
o собственноручно написанная клиентом доверенность в присутствии работника КГБУЗ «Павловская ЦРБ» и им заверенная.
________________________________________
Сведения о третьих лицах, участвующих в обработке персональных данных
________________________________________
В целях соблюдения законодательства РФ, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных Оператор в ходе своей деятельности предоставляет персональные данные следующим организациям:
o Федеральной налоговой службе;
o Пенсионному фонду Российской Федерации;
o Фонду медицинского страхования Алтайского края;
o Страховым медицинским организациям.
________________________________________
Меры по обеспечению безопасности персональных данных при их обработке
________________________________________
Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:
o назначением ответственных за организацию обработки персональных данных;
o осуществлением внутреннего контроля и/или аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам;
o ознакомлением работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных, и (или) обучением указанных работников;
o определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
o применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
o учетом материальных носителей персональных данных;
o выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер;
o восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
o установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
o контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных;
o применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
________________________________________
Права субъекта персональных данных
________________________________________
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
o подтверждение факта обработки персональных данных;
o правовые основания и цели обработки персональных данных;
o применяемые способы обработки персональных данных;
o сведения о лицах (за исключением работников организации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора или на основании федерального закона;
o обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;
o сроки обработки персональных данных, в том числе сроки их хранения;
o порядок осуществления субъектом персональных данных своих прав;
o наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению организации, если обработка поручена или будет поручена такому лицу.
________________________________________
Соответствующая информация предоставляется субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен быть составлен в соответствии с порядком обработки обращений субъектов персональных данных по вопросам обработки их персональных данных.
________________________________________
Порядок обработки обращений субъектов персональных данных по вопросам обработки их персональных данных в случае обращения либо получения Учреждением запроса субъекта персональных данных (или его законного представителя) по вопросам обработки персональных данных, такой запрос передается лицу, ответственному за организацию обработки персональных данных.
________________________________________
Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Учреждением (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Учреждением, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
________________________________________
Учреждение отвечает на полученный запрос в течение 30 (тридцати) календарных дней со дня получения запроса Учреждением.
________________________________________
Сведения предоставляются субъекту персональных данных Учреждением в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
________________________________________
Сведения предоставляются субъекту персональных данных или его представителю Учреждением при обращении либо при получении запроса субъекта персональных данных или его представителя.
________________________________________
В случае, если сведения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Учреждение или направить ему повторный запрос в целях получения сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
________________________________________
Субъект персональных данных вправе обратиться повторно в Учреждение или направить повторный запрос в целях получения сведений, касающихся его персональных данных, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного выше, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, касающимися его персональных данных, должен содержать обоснование направления повторного запроса.
________________________________________
Учреждение вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным в данным Порядком. Такой отказ должен предоставляется Учреждением субъекту персональных данных с обоснованием причины отказа.
________________________________________
Субъект персональных данных вправе требовать от Учреждения уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
________________________________________
Если субъект персональных данных считает, что Учреждение осуществляет обработку его персональных данных с нарушением требований федерального законодательства или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Учреждения в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
________________________________________
Заключительные положения
________________________________________
Настоящая Политика обработки персональных данных действует в отношении всей информации, которую КГБУЗ «Павловская ЦРБ» может получить о пользователе во время использования им сервисов официального сайта Учреждения. Использование сервисов сайта означает безоговорочное согласие пользователя с настоящей Политикой и указанными в ней условиями обработки его персональной информации; в случае несогласия с этими условиями пользователь должен воздержаться от использования сервисов сайта Учреждения.