Скачать в формате RTF

 

ПОЛОЖЕНИЕ

ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

 


Содержание

1      Общие положения. 3

2      Основные понятия и состав персональных данных. 3

3      Сбор, обработка и защита персональных данных. 5

4      Передача и хранение персональных данных. 7

5      Доступ к персональным данным.. 8

6      Защита персональных данных. 9

7      Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных. 10

Приложение № 1. Лист ознакомления. 11


1     Общие положения

  1. 1Настоящее Положение по обработке персональных данных (далее – Положение) Государственного бюджетного учреждения «Курганская поликлиника №2» (далее – Учреждения) разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом «Об информации, информационных технологиях и о защите информации» от 27.07.2006 г. № 149-ФЗ, Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ и устанавливает порядок приема, учета, сбора, поиска, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным субъектов Учреждения.
  2. 2Цель разработки Положения – определение порядка обработки персональных данных сотрудников Учреждения и иных субъектов персональных данных (далее – субъекты ПДн), персональные данные которых подлежат обработке; защита ПДн от несанкционированного доступа, неправомерного их использования или утраты.
  3. 3Учреждение является оператором персональных данных лиц, указанных в пункте 2.1 настоящего Положения. На основании договора Учреждение может поручать обработку персональных данных третьим лицам. Существенным условием договора об оказании услуг по обработке персональных данных является обязанность обеспечения этими лицами конфиденциальности и безопасности персональных данных субъектов.
  4. 4Настоящее Положение вступает в силу с момента его утверждения Главным врачом и действует бессрочно, до замены его новым Положением.
  5. 5Все изменения в Положение вносятся приказом Главного врача.

2       Основные понятия и состав персональных данных

  1. 1Под субъектами персональных данных подразумеваются следующие лица:

-        лица (далее – сотрудники), имеющие трудовые отношения с Учреждением;

-        граждане (пациенты), обратившиеся в Учреждение за медицинской помощью.

  1. 2Обработка персональных данных осуществляется:

-    без использования средств автоматизации;

-    с использованием средств информационных систем персональных данных.

  1. 3Состав персональных данных, обрабатываемых в информационной системе персональных данных (далее – ИСПДн) Учреждения, определяется «Перечнем персональных данных, обрабатываемых в информационных системах персональных данных».
  2. 4Под обработкой персональных данных понимаются действия (операции) с персональными данными, включающие:

-     сбор, хранение, уточнение (обновление, изменение);

-     систематизацию, накопление;

-     использование, распространение (в том числе передачу);

-     обезличивание, блокирование, уничтожение.

  1. 5Обработка персональных данных сотрудника осуществляется для обеспечения соблюдения законов и иных нормативных правовых актов, содействия сотруднику в трудоустройстве, обучении, продвижении по работе, обеспечения личной безопасности работника, контроля качества и количества выполняемой работы и обеспечения сохранности имущества, оплаты труда, пользования льготами, предусмотренными законодательством РФ и актами Учреждения, а также для осуществления основной деятельности Учреждения.
  2. 6Обработка персональных данных граждан, обратившихся в Учреждение, осуществляется с целью получения ими медицинской помощи.
  3. 7Комплекс документов, сопровождающий процесс оформления трудовых отношений работника в Учреждении при его приеме, переводе и увольнении.
  4. 7.1Информация, представляемая работником при поступлении на работу в Учреждение, должна иметь документальную форму. При заключении трудового договора в соответствии со ст.65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:

Персональные данные сотрудников Учреждения обрабатываются в административно-хозяйственной части в соответствии с исполняемыми функциями.

Персональные данные граждан обрабатываются у медицинских работников Учреждения.

-    паспорт или иной документ, удостоверяющий личность;

-    трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;

-    страховое свидетельство государственного пенсионного страхования;

-    документы воинского учета — для военнообязанных и лиц, подлежащих воинскому учету;

-    документ об образовании, о квалификации или наличии специальных знаний — при поступлении на работу, требующую специальных знаний или специальной подготовки;

-    свидетельство о присвоении ИНН (при его наличии у работника).

  1. 7.2При оформлении работника в Учреждение, главным специалистом заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:

-    общие сведения (Ф.И.О. работника, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);

-    сведения о воинском учете;

-    данные о приеме на работу;

В дальнейшем в личную карточку вносятся:

-    сведения о переводах на другую работу;

-    сведения об аттестации;

-    сведения о повышении квалификации;

-    сведения о профессиональной переподготовке;

-    сведения о наградах (поощрениях), почетных званиях;

-    сведения об отпусках;

-    сведения о социальных гарантиях;

-    сведения о месте жительства и контактных телефонах.

  1. 7.3В административно-хозяйственной части создаются и хранятся следующие группы документов, содержащие персональные данные работников в единичном или сводном виде:
  2. 7.3.1Документы, содержащие персональные данные работников (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; комплекс материалов по анкетированию, тестированию; проведению собеседований с кандидатом на должность; подлинники и копии приказов по личному составу; личные дела и трудовые книжки работников; дела, содержащие основания к приказу по личному составу; дела, содержащие материалы аттестации работников; служебных расследований; справочно-информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Учреждения; копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения).
  3. 7.3.2Организационно-распорядительная документация Учреждения (Положения, должностные инструкции работников, приказы Главного врача); документы по планированию, учету, анализу и отчетности в части работы с персоналом Учреждения.
  4. 8Комплекс документов, сопровождающий процесс оказания гражданам медицинских услуг.
  5. 8.1Информация, представляемая гражданами в Учреждение, должна иметь документальную форму. Граждане предъявляют следующие документы:

-    паспорт или иной документ, удостоверяющий личность;

-    страховое свидетельство государственного пенсионного страхования;

-    полис обязательного медицинского страхования.

  1. 8.2В дальнейшем в ИСПДн Учреждения обрабатываются персональные данные согласно «Перечню персональных данных, обрабатываемых в информационных системах персональных данных».

3       Сбор, обработка и защита персональных данных

  1. 1Порядок получения персональных данных.
  2. 1.1Все персональные данные сотрудников Учреждения и прочих физических лиц следует получать у них самих. Если персональные данные возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Должностное лицо Учреждения должно сообщить о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта дать письменное согласие на их получение.
  3. 1.2Учреждение вправе обрабатывать персональные данные физических лиц только с их письменного согласия.
  4. 1.3Согласие субъекта не требуется в следующих случаях:

-    обработка персональных данных осуществляется на основании Трудового кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия работодателя;

-    обработка персональных данных осуществляется в целях исполнения трудового договора;

-    обработка персональных данных, необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

-    обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее – исполнение судебного акта);

-    обработка персональных данных необходима для предоставления государственной или муниципальной услуги в соответствии с Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», для обеспечения предоставления такой услуги, для регистрации субъекта персональных данных на едином портале государственных и муниципальных услуг;

-    обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

-    обработка персональных данных осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных;

-    обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

-    обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно.

  1. 2Порядок обработки, передачи и хранения персональных данных.
  2. 2.1Субъект предоставляет должностному лицу Учреждения достоверные сведения о себе. Должностное лицо проверяет достоверность сведений, сверяя данные, предоставленные субъектом, с имеющимися у субъекта документами.
  3. 2.2Главный врач и сотрудники Учреждения (операторы) при обработке персональных данных сотрудника должны соблюдать следующие общие требования:
  4. 2.2.1Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, оказания медицинской помощи гражданам содействия сотрудникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности сотрудников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
  5. 2.2.2При определении объема и содержания обрабатываемых персональных данных оператор должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом «О персональных данных» от 27.07.2006 г. № 152-ФЗ и иными федеральными законами.
  6. 2.2.3При принятии решений, затрагивающих интересы субъекта, Учреждение, как оператор, не имеет права основываться на персональных данных субъекта, полученных исключительно в результате их автоматизированной обработки или электронного получения.
  7. 2.2.4Защита персональных данных субъекта от неправомерного их использования или утраты обеспечивается Учреждением как оператором за счет своих средств в порядке, установленном федеральным законом.
  8. 2.2.5Сотрудники и их представители должны быть ознакомлены под подпись с документами Учреждения, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.
  9. 2.2.6Во всех случаях отказ субъекта от своих прав на сохранение и защиту персональных данных недействителен.
  10. 2.3Все меры конфиденциальности при сборе, обработке и хранении персональных данных распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
  11. 2.4Информация о субъектах ПДн, зафиксированная в автоматизированных системах и на бумажных носителях должна храниться в условиях, исключающих несанкционированный доступ к ней.

4       Передача и хранение персональных данных

  1. 1При передаче персональных данных субъекта Учреждение должно соблюдать следующие требования:
  2. 1.1Не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью сотрудника, а также в случаях, установленных федеральным законом.
  3. 1.2Предупредить лиц, получивших персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные субъекта, обязаны соблюдать режим конфиденциальности. Данное Положение не распространяется на обмен персональными данными субъектов в порядке, установленном федеральными законами.
  4. 1.3Осуществлять передачу персональных данных субъектов в пределах Учреждения в соответствии с настоящим Положением.
  5. 1.4Разрешать доступ к персональным данным субъектов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные сотрудников и граждан, которые необходимы для выполнения конкретной функции.
  6. 1.5Передавать персональные данные представителям в порядке, установленном законодательством Российской Федерации, и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функции.
  7. 1.6Не допускается отвечать на вопросы, связанные с передачей персональной информации, по телефону или факсу.
  8. 2Хранение и использование персональных данных:
  9. 2.1Персональные данные субъектов обрабатываются и хранятся на бумажных носителях в помещениях Учреждения и на учтенных машинных носителях в соответствии с Инструкцией по учету машинных носителей.
  10. 2.2Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде — в локальной компьютерной сети, в компьютерных программах и электронных базах данных.
  11. 2.3ПДн субъектов должны удаляться из Информационных систем персональных данных Учреждения по достижении целей обработки, при этом допускается хранить документы, содержащие ПДн, срок хранения которых регулирует Федеральный закон от 22 октября 2004 г. №125-ФЗ «Об архивном деле в РФ».
  12. 3При получении персональных данных не от субъекта (за исключением случаев, если персональные данные были предоставлены Учреждению на основании федерального закона или если персональные данные являются общедоступными), Учреждение до начала обработки таких персональных данных обязано предоставить субъекту следующую информацию:

-    наименование (фамилия, имя, отчество) и адрес оператора или его представителя;

-    цель обработки персональных данных и ее правовое основание;

-    предполагаемые пользователи персональных данных;

-    установленные Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных» права субъекта персональных данных.

5       Доступ к персональным данным

  1. 1Перечень лиц, имеющих право доступа к персональным данным, определяется «Списком лиц, которым необходим доступ к персональным данным», утвержденным Главным врачом.
  2. 2Субъект персональных данных, чьи персональные данные обрабатываются в информационной системе Учреждения, имеет право:
  3. 2.1Получать доступ к своим персональным данным и знакомиться с ними, включая право на безвозмездное получение копий любой записи, содержащей персональные данные этого субъекта.
  4. 2.2Требовать от Учреждения уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющих необходимыми для оператора персональных данных.
  5. 2.3Получать от оператора:

-    сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

-    перечень обрабатываемых персональных данных и источник их получения;

-    сроки обработки персональных данных, в том числе сроки их хранения;

-    сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

  1. 2.4Требовать извещения Оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
  2. 2.5Копировать и делать выписки персональных данных субъекта разрешается исключительно в служебных целях.
  3. 3Передача информации третьей стороне возможна только при письменном согласии субъекта персональных данных.

6       Защита персональных данных

1          

2          

3          

4          

5          

6          

  1. 1Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
  2. 2Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.
  3. 3Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности компании.
  4. 4Защита персональных данных от неправомерного их использования или утраты должна быть обеспечена оператором за счет его средств в порядке, установленном федеральным законом.
  5. 5Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны подписать обязательство о неразглашении персональных данных.
  6. 6По возможности персональные данные обезличиваются.
  7. 7Кроме мер защиты персональных данных, установленных законодательством, работодатели, работники и их представители могут вырабатывать совместные меры защиты персональных данных.

7       Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

6  

7  

  1. 1Сотрудники Учреждения, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с федеральными законами.
  2. 2Главный врач за нарушение норм, регулирующих получение, обработку и защиту персональных данных субъектов, несет административную ответственность согласно ст. 5.27 и 5.39 Кодекса об административных правонарушениях Российской Федерации, а также возмещает субъекту ущерб, причиненный неправомерным использованием информации, содержащей персональные данные этого субъекта.

Дополнительная информация