Banner NOK13 1

 

 

Приложение № ______

к Приказу №____ от «___» _______ 20__г.

 

УТВЕРЖДАЮ

Главный врач ГАУЗ «Госпиталь для

ветеранов войн»

Мавзютова Р.Р.___________________

 

«___» ____________ 20__ г.

 

 

ПОЛОЖЕНИЕ

об обработке и защите персональных данных в
ГАУЗ «Госпиталь для ветеранов войн»

(наименование организации/учреждения)

 

1.      Общие положения

1.1.Настоящее Положение имеет своей целью закрепление механизмов обеспечения прав субъекта на сохранение конфиденциальности информации о фактах, событиях и обстоятельствах его жизни.

1.2.Настоящее Положение об обработке и защите персональных данных (далее - Положение) определяет порядок сбора, хранения, передачи и любого другого использования персональных данных работников и пациентов в соответствии с законодательством Российской Федерации.

1.3.Положение об обработке и защите персональных данных работников и пациентов

 ГАУЗ «Госпиталь для ветеранов войн» (далее Учреждение) разработано в соответствии с

      (наименование организации)

Конституцией Российской Федерации, Трудовым Кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», «Основами законодательства Российской Федерации об охране здоровья граждан» № 5487-1 от 22.07.1993 г., Указом Президента РФ «Об утверждении перечня сведений конфиденциального характера» № 188 от 06.03.1997 г., постановлением Правительства Российской Федерации от 17.11.2007г. № 781 «Об утверждении Положения об обеспечении безопасности  персональных данных при их обработке в информационных данных» постановлением Правительства Российской Федерации от 15.09.2008г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

1.4.Цель разработки Положения – определение порядка обработки персональных данных работников и пациентов Учреждения; обеспечение защиты прав и свобод работников и пациентов при обработке их персональных данных, хранение персональных данных, а также установление ответственности должностных лиц, имеющих доступ к персональным данным работников Учреждения, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

1.5. Порядок ввода в действие и изменения Положения

1.5.1.      Настоящее Положение вступает в силу с момента его утверждения Главным врачом ГАУЗ «Госпиталь для ветеранов войн» и действует бессрочно, до замены его новым Положением.

1.5.2.      Все изменения в Положение вносятся приказом.

1.6.    Все работники  должны быть ознакомлены с настоящим Положением под роспись.

1.7.    Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении срока хранения или продлевается на основании заключения экспертной комиссии Учреждения, если иное не определено законом.

 

 

2.            Основные понятия

Для целей настоящего Положения используются следующие понятия:

2.1.  Работник - физическое лицо, состоящее в трудовых отношениях с работодателем.

2.2.  Пациент – субъект персональных данных.

2.3.  Учреждение – ГАУЗ «Госпиталь для ветеранов войн».

2.4.  Персональные данные работника - любая информация, необходимая Учреждению в связи с трудовыми отношениями и касающаяся конкретного работника, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

2.5.  Персональные данных пациента - любая информация, необходимая Учреждению в случаях обращения за медицинской помощью, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес проживания, реквизиты полиса ОМС (ДМС), страховой номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС), другая информация.

2.6.  Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

2.7.  Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

2.8.  Использование персональных данных - действия (операции) с персональными данными, совершаемые работодателем в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

2.9.  Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

2.10.        Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

2.11.        К персональным данным работника относятся:

2.11.1.           Сведения, содержащиеся в основном документе, удостоверяющем личность работника.

2.11.2.           Информация, содержащаяся в трудовой книжке работника.

2.11.3.           Информация, содержащаяся в страховом свидетельстве государственного пенсионного страхования.

2.11.4.           Сведения, содержащиеся в документах воинского учета для военнообязанных и лиц, подлежащих призыву на военную службу.

2.11.5.           Сведения об образовании, квалификации или наличии специальных знаний или подготовки.

2.11.6.           Сведения, содержащиеся в свидетельстве о постановке на учет физического лица в налоговом органе на территории Российской Федерации.

2.11.7.           Сведения о семейном положении работника.

2.11.8.           Информация медицинского характера, в случаях, предусмотренных законодательством.

2.11.9.           Сведения о заработной плате сотрудника.

2.11.10.       Сведения о социальных льготах;

2.11.11.       Сведения о наличии судимостей;

2.11.12.       Место работы или учебы членов семьи;

2.11.13.       Содержание трудового договора;

2.11.14.       Подлинники и копии приказов по личному составу;

2.11.15.       Основания к приказам по личному составу;

2.11.16.       Документы, содержащие информацию по повышению квалификации и переподготовке сотрудника, его аттестация, служебное расследование.

2.11.17.       Сведения о награждении государственными наградами Российской Федерации, Республики Татарстан, Почетной грамотой Президента Республики Татарстан, об объявлении благодарности Президента Республики Татарстан, присвоении почетных, воинских и специальных званий.

2.12.        К персональным данным пациента относятся:

2.12.1.           Сведения, содержащиеся в основном документе, удостоверяющем личность;

2.12.2.           Реквизиты полиса ОМС (ДМС);

2.12.3.           Страховой номер индивидуального лицевого счета  Пенсионном фонде России (СНИЛС);

2.12.4.           Данные о состоянии здоровья, заболеваниях, случаях обращения за медицинской помощью – в медико-профилактических целях, в целях установления медицинского диагноза и оказания медицинских услуг.

 

Примечание: Учреждение вправе по собственному усмотрению расширять и дополнять вышеуказанный перечень сведений относящихся к персональным данным.

 

 

3.            Обработка персональных данных

3.5.    Общие требования при обработке персональных данных пациента и работника.

В целях обеспечения прав и свобод человека и гражданина при обработке персональных данных работника и пациента обязаны соблюдаться следующие требования:

3.1.1.               Обработка персональных работника данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

3.1.2.               Обработка персональных данных пациента может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, установления медицинского диагноза, обследования и лечения, оказания медицинских услуг, в профилактических целях.

3.1.3.               Персональные данные не могут быть использованы в целях причинения имущественного и/или морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.

3.1.4.               При принятии решений, затрагивающих интересы работника и пациента, нельзя основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.

3.1.5.               Работники и их представители должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных работника, а также об их правах и обязанностях в этой области (Приложение 1).

3.1.6.               Работники не должны отказываться от своих прав на сохранение и защиту тайны.

3.6.    Получение персональных данных.

3.6.1.               Все персональные данные работника следует получать от него самого. При согласии работника он собственноручно заполняет бланк в соответствии с Приложением 2 к данному Положению.

3.6.2.               Все персональные данные пациента следует получать от него самого. При согласии пациента он собственноручно заполняет бланк в соответствии с Приложением 3 к данному Положению.

3.6.3.               Учреждение не вправе требовать от субъекта персональных данных, предоставляющих информацию о его национальности и расовой принадлежности, политических и религиозных убеждениях и о его частной жизни. Без согласия субъектов осуществляется обработка общедоступных персональных данных или содержащих только фамилии, имена и отчества, обращений и запросов организаций и физических лиц, регистрация и отправка корреспонденции почтовой связью, обработка персональных данных для исполнения трудовых договоров или без использования средств автоматизации, и в иных случаях, предусмотренных законодательством Российской Федерации.

3.6.4.               В случаях, когда Учреждение может получить необходимые персональные данные работника только у третьей стороны, работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие в соответствии с Приложением 4 к данному Положению. В уведомлении работодатель обязан сообщить работнику о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа работника дать письменное согласие на их получение. Согласие оформляется в письменной форме в двух экземплярах, один из которых предоставляется работнику, второй хранится у работодателя.

3.6.5.               В случаях, когда Учреждение может получить необходимые персональные данные пациента только у третьей стороны, пациент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие в соответствии с Приложением 5 к данному Положению. В уведомлении работодатель обязан сообщить пациенту о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа пациента дать письменное согласие на их получение. Согласие оформляется в письменной форме в двух экземплярах, один из которых предоставляется пациенту, второй хранится у Учреждения.

3.6.6.               Запрещается получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.

3.6.7.               В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации администрация Работодателя вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

3.6.8.               Обработка и использование персональных данных осуществляется в целях, указанных в Согласии субъектов персональных данных, а также в случаях, предусмотренных нормативно-правовыми актами Российской Федерации. Не допускается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы. В случае увольнения, отчисления работника и иного достижения целей обработки персональных данных, зафиксированных в письменном соглашении, Учреждение обязано незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней, если иное не предусмотрено федеральными законами. Правила обработки и использования персональных данных устанавливаются отдельными регламентами и  инструкциями Учреждения.

 

3.7.     Хранение персональных данных работников.

Места хранения материальных носителей персональных данных определяются в соответствии с Приказом «Об утверждении мест хранения».

3.7.1.               Хранение персональных данных осуществляется кадровой службой, бухгалтерией, на бумажных и электронных носителях с ограниченным доступом.

3.7.2.               Личные дела хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела хранятся в специально отведенной секции сейфа, обеспечивающего защиту от несанкционированного доступа.

3.7.3.               Подразделения, хранящие персональные данные, обеспечивают их защиту от несанкционированного доступа и копирования согласно Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденному постановлением правительства РФ 15 сентября 2008 г. N 687.

3.8.     Хранение персональных данных пациентов.

3.8.1.               Хранение персональных данных пациентов осуществляется регистратурой, архивом стационара на бумажных носителях с ограниченным доступом, а также в серверном помещении в электронном виде с ограниченным доступом.

3.8.2.               Подразделения, хранящие персональные данные, обеспечивают их защиту от несанкционированного доступа и копирования согласно Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденному постановление правительства РФ 15 сентября 2008 г. N 687.

3.9.    Передача персональных данных

3.9.1.               При передаче персональных данных Учреждение обязано соблюдать следующие требования:

-     не сообщать персональные данные пациента третьей стороне без письменного согласия пациента, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью (Приложение 6);

-     предупредить лиц, получающих персональные данные пациента, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные пациента, обязаны соблюдать требования конфиденциальности;

-     не сообщать персональные данные пациента в коммерческих целях без его письменного согласия;

-     не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, предусмотренных Трудовым Кодексом Российской Федерации или иными федеральными законами;

-     предупредить лиц, получающих персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные работника, обязаны соблюдать требования конфиденциальности (Приложение 5);

-     не сообщать персональные данные работника в коммерческих целях без его письменного согласия;

-     не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;

-     передавать персональные данные работника представителям работников в порядке, установленном Трудовым Кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функций;

-     все сведения о передаче персональных данных Работника регистрируются в Журнале учета передачи персональных данных работников в целях контроля правомерности использования данной информации лицами, ее получившими. В журнале фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также отмечается, какая именно информация была передана.

3.9.2.               Все меры конфиденциальности при сборе, обработке и хранении персональных данных распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

3.9.3.               Внутренний доступ (доступ внутри Учреждения) к персональным данным работника. Право доступа к персональным данным сотрудника имеют:

-          Главный врач;

-          бухгалтер;

-          специалисты отдела кадров;

-          непосредственные руководители по направлению деятельности (доступ к персональным данным сотрудников, непосредственно находящихся в его подчинении);

-          сам работник, носитель данных.

3.9.4.               Внутренний доступ (доступ внутри Учреждения) к персональным данным пациента. Право доступа к персональным данным пациента имеют:

-          Главный врач;

-          сотрудники Учреждения, непосредственно занимающиеся обследованием и лечением пациента;

-          кабинет статистики;

-          регистратура.

Доступ к персональным данным осуществляется на основании Приказа «О допуске сотрудников к персональным данным ГАУЗ «Госпиталь для ветеранов войн»

3.9.5.               Все сотрудники, имеющие доступ к персональным данным, обязаны подписать соглашение о неразглашении персональных данных (Приложение 7).

3.9.6.               К числу массовых потребителей персональных данных работника вне Учреждения относятся государственные и негосударственные функциональные структуры: налоговые инспекции; правоохранительные органы; органы статистики; страховые агентства; военкоматы; органы социального страхования; пенсионные фонды; подразделения федеральных, республиканских и муниципальных органов управления. Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.

3.9.7.               К числу массовых потребителей персональных данных пациента вне Учреждения относятся страховые медицинские организации, Фонд обязательного медицинского страхования, Фонд социального страхования.

3.9.8.               Организации, в которые сотрудник может осуществлять перечисления денежных средств (страховые Общества, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения) могут получить доступ к персональным данным работника только в случае его письменного разрешения.

3.10.  Уничтожение персональных данных

3.10.1.           Персональные данные хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

3.10.2.           Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.

4.      Права и обязанности работников.

4.1.   В целях обеспечения защиты персональных данных работники имеют право:

-        получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);

-        осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законом;

-        требовать от Учреждения уточнения своих персональных данных, их блокирования или уничтожения в случае, если по вине Учреждения персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

-        отозвать свое согласие на обработку ПДн, указав обоснование такого решения Приложение 8;

-        при отказе работодателя или уполномоченного им лица исключить или исправить персональные данные работника - заявить в письменной форме о своем несогласии, представив соответствующее обоснование;

-        дополнить персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;

-        требовать от работодателя или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника, обо всех произведенных в них изменениях или исключениях из них;

-        обжаловать в суд любые неправомерные действия или бездействие работодателя или уполномоченного им лица при обработке и защите персональных данных работника.

4.2.   Работник обязуется предоставлять персональные данные, соответствующие действительности.

5.      Права и обязанности пациентов.

5.1.   В целях обеспечения защиты персональных данных пациенты имеют право:

-        получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);

-        осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законом;

-        требовать от Учреждения уточнения своих персональных данных, их блокирования или уничтожения в случае, если по вине Учреждения персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

-        отозвать свое согласие на обработку ПДн, указав обоснование такого решения Приложение 8;

-        при отказе Учреждения или уполномоченного им лица исключить или исправить персональные данные работника - заявить в письменной форме о своем несогласии, представив соответствующее обоснование;

-        требовать от Учреждения или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные пациента, обо всех произведенных в них изменениях или исключениях из них;

-        обжаловать в суд любые неправомерные действия или бездействие Учреждения или уполномоченного им лица при обработке и защите персональных данных пациента.

5.2.   Пациент обязуется предоставлять персональные данные, соответствующие действительности.

6.                  Обязанности Учреждения при сборе персональных данных

6.1.   обеспечить защиту персональных данных пациента от неправомерного их использования или утраты в порядке, установленном законодательством РФ;

6.2.   осуществлять передачу персональных данных пациента только в соответствии с настоящим Положением и законодательством Российской Федерации;

6.3.   предоставлять персональные данные пациента только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей в соответствии с настоящим Положением и законодательством Российской Федерации;

6.4.   Учреждение обязано  безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по представлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет Учреждение, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах Учреждение обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.

6.5.   В случае выявления неправомерных действий с персональными данными Учреждение обязано сообщить непосредственному руководителю и проректору по безопасности  о выявленных нарушениях, в срок не превышающий трех рабочих дней с даты такого выявления, устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений Учреждение в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязано уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Учреждение обязано уведомить субъекта персональных данных или его законного представителя.

6.6.   В случае отзыва субъекта персональных данных согласия на обработку своих персональных данных Учреждение обязано прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено Федеральными законами и (или) соглашением между Учреждением и субъектом персональных данных. Об уничтожении персональных данных Учреждение обязано уведомить субъекта персональных данных.

7.                  Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

7.1.   Учреждение, а также должностные лица, виновные в нарушении требований настоящего Федерального закона, несут гражданскую, уголовную, административную, дисциплинарную и иную ответственность предусмотренную законодательством Российской Федерации.

7.2.   Ответственность за соблюдение требований законодательства Российской Федерации при обработке и использовании персональных данных возлагается в приказе об утверждении Положения и иных приказах на руководителей структурных подразделений и конкретных должностных лиц Учреждения, обрабатывающих персональные данные.

 

 

 

Полезные ссылки

Отзывы пациентов

Scroll to top