Политика обработки и защиты персональных данных медицинской организации ГБУЗ РК «Ухтинская городская поликлиника»
1. Общие положения.
1.1. Настоящая Политика Государственного бюджетного учреждения
здравоохранения «Ухтинская городская поликлиника» (далее – Учреждение) в
отношении обработки персональных данных (далее - Политика) разработана во
исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ
«О персональных данных» (далее – Закон о персональных данных) в целях
обеспечения защиты прав и свобод человека и гражданина при обработке его
персональных данных, в том числе защиты прав на неприкосновенность частной
жизни, личную и семейную тайну. Обработка персональных данных в Управлении
осуществляется в соответствии с Законом о персональных данных, Конституцией
Российской Федерации; Трудовым Кодексом Российской Федерации; Федеральным
законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях
и о защите информации»; Требованиями к защите персональных данных при их
обработке в информационных системах персональных данных, утвержденных
постановлением Правительства Российской Федерации от 1 ноября 2012г. №1119;
Положением об особенностях обработки персональных данных, осуществляемой без
использования средств автоматизации, утвержденного постановлением Правительства
Российской Федерации от 15 сентября 2008 г. № 687.
1.2. Настоящей Политикой определяется порядок обращения с персональными
данными пациентов (субъектов персональных данных), которые обращаются
Учреждение и персональными данными работников Учреждения, которые необходимы
работодателю в связи с трудовыми отношениями.
1.3. К настоящей политике должен быть обеспечен неограниченный доступ в
соответствии с п. 2 ст. 18.1 Закон о персональных данных.
1.4. В отношении сведений о субъектах персональных данных, позволяющих
идентифицировать его личность, за исключением обезличенных и общедоступных
персональных данных, в установленных федеральными законами случаях, должна
обеспечиваться конфиденциальность таких сведений.
1.5. Защита персональных данных пациента от неправомерного их
использования или утраты должна быть обеспечена Учреждением (оператором) за счет
его средств и в порядке, установленном Федеральными Законами, и другими
нормативными документами Российской Федерации.
1.6. Настоящая Политика не распространяется на отношения, возникающие при:
организации хранения, комплектования, учета и использования содержащих
персональные данные архивных документов в соответствии с законодательством об
архивном деле в Российской Федерации;
обработке персональных данных, отнесенных в установленном порядке к
сведениям, составляющим государственную тайну.
2. Основные понятия.
Для целей настоящей Политики используются следующие основные понятия:
автоматизированная обработка персональных данных – обработка персональных
данных с помощью средств вычислительной техники;
блокирование персональных данных – временное прекращение обработки
персональных данных (за исключением случаев, если обработка необходима для
уточнения персональных данных);
врачебная тайна – соблюдение конфиденциальности информации о факте обращения
за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и
иных сведений, полученных при его обследовании и лечении;
документированная информация – зафиксированная на материальном носителе путем
документирования информация с реквизитами, позволяющими определить такую
информацию или в установленных законодательством Российской Федерации случаях
ее материальный носитель;
документы, содержащие персональные сведения пациента – формы медицинской и
иной учетно-отчетной документации, включающие сведения о персональных данных;
информация – сведения (сообщения, данные) независимо от формы их представления;
информационная система персональных данных – совокупность содержащихся в базах
данных персональных данных и обеспечивающих их обработку информационных
технологий и технических средств;
конфиденциальность персональных данных – обязательное для соблюдения
оператором или иным получившим доступ к персональным данным лицом требование
не допускать их распространения и не раскрывать третьим лицам персональные
данные без согласия субъекта персональных данных, если иное не предусмотрено
федеральным законом;
обезличивание персональных данных – действия, в результате которых становится
невозможным без использования дополнительной информации определить
принадлежность персональных данных конкретному субъекту персональных данных;
обработка персональных данных – любое действие (операция) или совокупность
действий (операций), совершаемых с использованием средств автоматизации или без
использования таких средств с персональными данными, включая сбор,
систематизацию, накопление, хранение, уточнение (обновление, изменение),
извлечение, использование, передачу (распространение, предоставление, доступ),
обезличивание, блокирование, удаление, уничтожение персональных данных;
обработка персональных данных, содержащихся в информационной системе
персональных данных либо извлеченных из такой системы (далее - персональные
данные), считается осуществленной без использования средств автоматизации
(неавтоматизированной), если такие действия с персональными данными, как
использование, уточнение, распространение, уничтожение персональных данных в
отношении каждого из субъектов персональных данных, осуществляются при
непосредственном участии человека;
общедоступные персональные данные – персональные данные, доступ
неограниченного круга лиц к которым предоставлен с согласия субъекта персональных
данных или на которые в соответствии с федеральными законами не распространяется
требование соблюдения конфиденциальности;
оператор – государственный орган, муниципальный орган, юридическое или
физическое лицо, самостоятельно или совместно с другими лицами организующие и
(или) осуществляющие обработку персональных данных, а также определяющие цели
обработки персональных данных, состав персональных данных, подлежащих
обработке, действия (операции), совершаемые с персональными данными;
пациент – физическое лицо (субъект), обратившееся в Учреждение с целью получения
медицинского обслуживания, либо состоящее в иных гражданско-правовых
отношениях с Учреждением по вопросам получения медицинских услуг;
персональные данные – любая информация, относящаяся прямо или косвенно к
определенному или определяемому физическому лицу (субъекту персональных
данных);
- персональные данные, разрешенные субъектом персональных данных для
распространения, - персональные данные, доступ неограниченного круга лиц к
которым предоставлен субъектом персональных данных путем дачи согласия на
обработку персональных данных, разрешенных субъектом персональных данных для
распространения в порядке, предусмотренном настоящим Федеральным законом;
персональные данные пациента – любая информация, относящаяся к определенному
или определяемому на основании такой информации физическому лицу (субъекту
персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и
место рождения, серия и номер паспорта, адрес регистрации и фактического
проживания, идентификационный номер налогоплательщика (ИНН), страховое
свидетельство государственного пенсионного страхования (СНИЛС), семейное,
социальное положение, образование, профессия, должность, специальность, серия и
номер страхового медицинского полиса и его действительность, номер амбулаторной
карты, номер истории болезни, сведения о состоянии здоровья, в том числе группа
здоровья, группа инвалидности и степень ограничения к трудовой
деятельности, состояние диспансерного учета, зарегистрированные диагнозы
по результатам обращения пациентов к врачу, в том числе при прохождении
диспансеризации и медицинских осмотров, информация об оказанных медицинских
услугах, в том числе о проведенных лабораторных анализах и исследованиях и их
результатах, выполненных оперативных вмешательствах, случаях стационарного
лечения и их результатах, о выданных листах временной нетрудоспособности с
указанием номера листа нетрудоспособности и периода нетрудоспособности,
регистрация прикрепления на территории обслуживания пациента – дата и признак
прикрепления, информация о выписанных и отпущенных лекарственных средствах и
изделиях медицинского назначения, информация о наличии льгот (по категориям), о
документах, подтверждающих право на льготу и право на льготное лекарственное
обеспечение, дата и причина смерти гражданина в случае его смерти;
предоставление персональных данных – действия, направленные на раскрытие
персональных данных определенному лицу или определенному кругу лиц;
распространение персональных данных – действия, направленные на раскрытие
персональных данных неопределенному кругу лиц;
уничтожение персональных данных – действия, в результате которых становится
невозможным восстановить содержание персональных данных в информационной
системе персональных данных и (или) в результате которых уничтожаются
материальные носители персональных данных.
3. Категория обрабатываемых персональных данных.
Учреждение обрабатывает следующие категории персональных данных:
№ Содержание
Персональные данные
Персональные данные работников
Первичные учетные данные работника
фамилия, имя, отчество;
пол.
Сведения о занимаемой должности работника
наименование организации работодателя;
наименование структурного подразделения;
наименование занимаемой должности;
рабочая контактная информация (адрес рабочего места, номер рабочего телефона, адрес рабочей электронной почты и т.п.).
Сведения о реквизитах работника (дополнительные сведения)
данные документа удостоверяющего личность (серия, номер паспорта, кем и когда выдан);
дата и место рождения;
адрес регистрации и адрес фактического проживания;
индивидуальный номер налогоплательщика;
номер страхового свидетельства (СНИЛС);
сведения о медицинском заключении по установленной форме об отсутствии у гражданина заболевания, препятствующего поступлению на государственную гражданскую службу или ее прохождение;
домашний телефон;
сотовый телефон.
Трудовая деятельность
сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи);
специальность по диплому;
К квалификация по диплому;
форма профессионального послевузовского образования;
данные об аттестации работника;
данные о профессиональной переподготовке или повышении квалификации;
сведения об учёной степени;
сведения о государственных наградах, знаках отличия;
сведения о трудовой деятельности (стаж, места работы/должности/периоды работы/причины увольнения, сведения о трудовой книжке (№/серия/дата выдачи/записи в ней), сведения о командировках/отпусках, поощрениях, данные о трудовом договоре (№/дата/условия/гарантии));
сведения о проведении служебных проверок, дисциплинированных расследований;
сведения о стаже в государственной службе;
информация о ежегодных оплачиваемых отпусках, учебных отпусках и отпусках без сохранения денежного содержания;
н номер расчетного счета, номер банковской карты;
информация об оформленных допусках к государственной тайне
Социальное положение работника
тип и сумма налогового вычета;
сведения об инвалидности, временной нетрудоспособности и прохождения диспансеризации;
сведения о составе семьи и сведения о близких родственниках;
реквизиты свидетельств о государственной регистрации актов гражданского состояния;
сведения о семейном положении;
сведения о воинском учете и реквизиты документов воинского учёта;
сведения о социальных гарантиях (льготах);
сведения о гражданстве.
Контрагенты (Юридические лица и их официальные представители)
фамилия, имя, отчество;
пол;
данные документа удостоверяющего личность (серия, номер паспорта, кем и когда выдан);
дата и место рождения;
адрес регистрации и адрес фактического проживания;
рабочая контактная информация (номер рабочего телефона, адрес рабочей электронной почты и т.п.);
номер страхового свидетельства (СНИЛС);
индивидуальный номер налогоплательщика;
лицевой расчетный счет;
данные о начисленных суммах согласно договору.
Персональные данные пациентов
фамилия, имя, отчество;
пол;
данные документа, удостоверяющего личность (серия, номер, кем и когда выдан);
дата и место рождения;
адрес регистрации и адрес фактического проживания;
данные полиса медицинского страхования (серия, номер, дата выдачи,
страховая компания);
номер страхового свидетельства (СНИЛС);
сведения о прикреплении к медицинской организации;
номер телефона (домашний и/или сотовый).
Сведения о состоянии здоровья
сведения об обращениях к врачам;
сведения о выставленных диагнозах;
1 сведения об инвалидности, временной нетрудоспособности;
2 сведения о проведенных обследованиях;
3 сведения о прохождении диспансеризации, профилактических осмотров;
4 сведения о социальных льготах;
5 сведения о прививках;
6 сведения о госпитализации;
7 сведения о постановке на диспансерный учет.
5. Сбор, обработка, хранение и сроки персональных данных.
5.1. Все персональные данные субъекта следует получать у него самого. Информация о
персональных данных субъекта предоставляется оператору субъектом устно, либо
путем заполнения личных карточек формы Т-2 для работников (медицинских карт для
пациентов), которые хранятся в личном деле в отделе кадров (картохранилище/архиве).
Если персональные данные субъекта возможно получить только у третьей стороны, то
субъект должен быть уведомлен об этом и от него должно быть получено письменное
согласие (либо письменный отказ). В письменном уведомлении оператор должен
сообщить субъекту о целях, предполагаемых источниках и способах получения
персональных данных, характере подлежащих получению персональных данных
(например, оформление запроса в медицинское учреждение о прохождении
обследования и лечения и т.п.) и последствиях отказа субъекта дать письменное
согласие на их получение.
5.2. Учреждение не имеет права получать и обрабатывать персональные данные
субъекта о его расовой, национальной принадлежности, политических взглядах,
религиозных или философских убеждениях.
5.3. Работники Учреждения допускаются к обработке персональных данных только
после ознакомления с требованиями действующего законодательства и внутренних
нормативных и распорядительных документов Учреждения, регулирующих обработку
и защиту персональных данных и подписания обязательства о неразглашении
конфиденциальной информации.
5.7. Запрещается требовать от лица, поступающего на работу (или прием), документы
помимо предусмотренных Трудовым кодексом РФ, иными федеральными законами,
указами Президента Российской Федерации и постановлениями Правительства
Российской Федерации.
5.8. Персональные данные субъектов хранятся в электронных базах данных и на
бумажных носителях в помещении отдела кадров (картохранилище). Для этого
используются специально оборудованные шкафы и сейфы. Личные дела уволенных
(прошедших обследование, лечение) субъектов хранятся в архиве Учреждения.
5.9. В целях информационного обеспечения могут создаваться общедоступные
источники персональных данных (в том числе справочники, электронные базы). В
общедоступные источники персональных данных могут включаться фамилия, имя,
отчество, должность, подразделение, образование, служебные телефоны и адрес
электронной почты.
5.10. Сведения о начислении и выплате заработной платы работникам Учреждения
хранятся в электронных базах данных и на бумажных носителях в помещении
бухгалтерии и бухгалтерского учета. По истечении сроков хранения, установленных
законодательством РФ, данные сведения передаются в архив Учреждения.
5.11. Конкретные обязанности по ведению, хранению личных дел субъектов,
заполнению, хранению и выдаче трудовых книжек, иных документов, отражающих
персональные данные субъектов, возлагается на работников отдела кадров, планово-
экономического отдела, бухгалтерии, информационно-аналитического и справочно-
информационного отдела.
5.12. Персональные данные работников и пациентов хранятся в электронных базах
данных, которые могут быть подключены к локальной сети организации, а также на
бумажных носителях.
5.13. Доступ к электронным базам данных ограничен паролем.
5.14. Персональные данные субъектов хранятся не дольше, чем этого требуют цели их
обработки, и они подлежат уничтожению по достижении целей обработки или в случае
утраты необходимости в их достижении. Документы, содержащие персональные
данные, подлежат хранению или уничтожению в порядке, предусмотренном архивным
законодательством Российской Федерации.
5.15. При получении сведений, составляющих персональные данные субъектов
заинтересованные лица имеют право получать только те персональные данные,
которые необходимы для выполнения конкретных функций и заданий.
5.16. Учреждение осуществляет обработку и хранение персональных данных в течение
следующих сроков:
Пациенты: бессрочно;
Работники – 75 лет, если иное не предусмотрено законодательством;
Контрагенты: исполнение обязательств по договорам и в течение срока исковой
давности, если иное не предусмотрено законодательством.
6. Передача персональных данных субъектов персональных данных.
6.1. При передаче персональных данных субъектов работники Учреждения, имеющие
доступ к персональным данным, должны соблюдать следующие требования:
6.1.1. Не сообщать персональные данные субъекта третьей стороне без письменного
согласия субъекта, за исключением случаев, когда это необходимо в целях
предупреждения угрозы жизни и здоровью субъекта, а также в других случаях,
предусмотренных Трудовым кодексом РФ или иными федеральными законами.
6.1.2. Не сообщать персональные данные субъекта в коммерческих целях без его
письменного согласия.
6.1.3. Персональные данные субъекта могут быть использованы лишь в целях, для
которых они сообщены.
6.1.4. Не отвечать на вопросы, связанные с передачей персональной информации по
телефону или факсу, интернету.
6.2. Учреждение обязано в порядке, определенном федеральным органом
исполнительной власти, уполномоченным в области обеспечения безопасности,
обеспечивать взаимодействие с государственной системой обнаружения,
предупреждения и ликвидации последствий компьютерных атак на информационные
ресурсы Российской Федерации, включая информирование его о компьютерных
инцидентах, повлекших неправомерную передачу (предоставление, распространение,
доступ) персональных данных.
6.3. В случае выявления неправомерной обработки или неточности персональных
данных при обращении субъекта персональных данных или его представителя либо по
запросу субъекта персональных данных или его представителя либо уполномоченного
органа по защите прав субъектов персональных данных Учреждение обязано
осуществить блокирование неправомерно обрабатываемых персональных данных,
относящихся к этому субъекту персональных данных, или обеспечить их блокирование
(если обработка персональных данных осуществляется другим лицом, действующим
по поручению Учреждения) с момента такого обращения или получения указанного
запроса на период проверки.
6.4. В случае подтверждения факта неточности персональных данных Учреждение на
основании сведений, представленных субъектом персональных данных или его
представителем либо уполномоченным органом по защите прав субъектов
персональных данных, или иных необходимых документов обязано уточнить
персональные данные либо обеспечить их уточнение (если обработка персональных
данных осуществляется другим лицом, действующим по поручению Учреждения) в
течение 7 рабочих дней со дня представления таких сведений и снять блокирование
персональных данных.
6.5. В случае выявления неправомерной обработки персональных данных,
осуществляемой Учреждением, Учреждение в срок, не превышающий 3 рабочих дней с
даты этого выявления, обязано прекратить неправомерную обработку персональных
данных или обеспечить прекращение неправомерной обработки персональных данных
лицом, действующим по поручению Учреждения. В случае, если обеспечить
правомерность обработки персональных данных невозможно, Учреждение в срок, не
превышающий 10 рабочих дней с даты выявления неправомерной обработки
персональных данных, уничтожает такие персональные данные или обеспечить их
уничтожение. Об устранении допущенных нарушений или об уничтожении
персональных данных Учреждение уведомляет субъекта персональных данных.
6.6. При установлении факта неправомерной или случайной передачи персональных
данных, повлекшей нарушение прав субъектов персональных данных, Учреждение с
момента выявления инцидента уведомляет уполномоченный орган: 1) в течение 24
часов о произошедшем инциденте, предполагаемых причинах, повлекших нарушение
прав субъектов персональных данных, предполагаемом вреде, принятых мерах по
устранению последствий соответствующего инцидента; предоставляет сведения о
лице, уполномоченном Учреждением на взаимодействие с уполномоченным органом
по вопросам, связанным с инцидентом; 2) в течение 72 часов о результатах
внутреннего расследования выявленного инцидента; предоставляет сведения о лицах,
действия которых стали причиной инцидента (при наличии).
7. Права субъекта.
7.1. Субъект персональных данных либо его законный представитель имеет право на
получение информации, касающейся обработки его персональных данных, в том числе
содержащей:
подтверждение факта обработки персональных данных оператором;
правовые основания и цели обработки персональных данных;
цели и применяемые оператором способы обработки персональных
данных;
наименование и место нахождения оператора, сведения о лицах (за
исключением сотрудников оператора), которые имеют доступ к персональным данным
или которым могут быть раскрыты персональные данные на основании договора с
оператором или на основании Законом о персональных данных;
обрабатываемые персональные данные, относящиеся к соответствующему
субъекту персональных данных, источник их получения, если иной порядок
представления таких данных не предусмотрен федеральным законом;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных прав,
предусмотренных Законом о персональных данных;
информацию об осуществленной или о предполагаемой трансграничной
передаче данных;
наименование или фамилию, имя, отчество и адрес лица,
осуществляющего обработку персональных данных по поручению оператора, если
обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные законодательством Российской
Федерации.
7.2. Сведения должны быть предоставлены субъекту персональных данных оператором
в доступной форме, и в них не должны содержаться персональные данные,
относящиеся к другим субъектам персональных данных, за исключением случаев,
когда имеются законные основания для раскрытия таких персональных данных.
7.3. Субъект персональных данных вправе требовать от оператора уточнения его
персональных данных, их блокирования или уничтожения в случае, если персональные
данные являются неполными, устаревшими, неточными, незаконно полученными или
не являются необходимыми для заявленной цели обработки, а также принимать
предусмотренные законом меры по защите своих прав.
7.4. Сведения предоставляются субъекту персональных данных или его представителю
оператором при обращении, либо при получении письменного запроса субъекта
персональных данных или его представителя. Порядок рассмотрения запросов
субъектов персональных данных устанавливается «Правилами рассмотрения запросов
субъектов персональных данных или их представителей», разработанных
Учреждением на основании требований Федерального закона «О персональных
данных» №152-ФЗ от 27 июля 2006 года и иных нормативно-правовых актов.
7.5. Субъект имеет право на защиту свих прав и законных интересов, в том числе на
возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
8. Ответственность за нарушение норм, регулирующих получение, обработку и
защиту персональных данных работников
8.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту
персональных данных субъекта персональных данных, несут дисциплинарную,
административную, гражданско-правовую или уголовную ответственность в
соответствии с действующим законодательством РФ.
8.2. Уголовная ответственность за нарушение неприкосновенности частной жизни (в
том числе незаконное собирание или распространение сведений о частной жизни лица,
составляющего его личную или семейную тайну, без его согласия), неправомерный
доступ к охраняемой законом информации, неправомерный отказ в предоставлении
собранных в установленном порядке документов и сведений (если эти деяния
причинили вред правам и законным интересам граждан), совершенные лицом с
использованием своего служебного положения наказывается штрафом, либо лишением
права занимать определенные должности или заниматься определенной
деятельностью, либо арестом в соответствии с УК РФ.
8.3. Неправомерность деятельности органов государственной власти и организаций по
сбору и использованию персональных данных может быть установлена в судебном
порядке.
9. Порядок уничтожения персональных данных
При достижении целей обработки носители персональных данных в записи в базах
уничтожаются по акту либо проходят процедуру обезличивания.
10. Изменение политики
Учреждение имеет право вносить изменения в настоящую политику. Новая редакция
Политики вступает в силу с момента её утверждения и размещения в общедоступном
месте.