Версия для слабовидящих
ГБУЗ КО Кемеровский детский клинический психоневрологический санаторий «Искорка»
 

Политика информационной безопасности

 

             

закона от 27.07.2006 N 152-ФЗ);

- предоставление персональных данных - действия, направленные на раскрытие персональных данных работников определенному лицу или определенному кругу лиц (п. 6 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);

блокирование персональных данных - временное прекращение обработки персональных данных работников (за исключением случаев, если обработка необходима для уточнения персональных данных) (п. 7 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);

- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных работников и (или) в результате которых уничтожаются материальные носители персональных данных работников (п. 8 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ);

- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному работнику (п. 9 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ).

 

  1. Цели обработки персональных данных

 

2.1. Оператор обрабатывает персональные данные работников, кандидатов на замещение вакантных должностей исключительно в следующих целях:

  • представления работодателем установленной законодательством отчетности в отношении физических лиц, в том числе сведений подоходного налога в ФНС России;
  • соблюдения действующего трудового, пенсионного, иного законодательства Российской Федерации;
  • предоставления сведений в банк для оформления банковской карты и перечисления на нее заработной платы;
  • предоставления сведений третьим лицам для оформления полиса  ДМС, для награждения;
  • предоставления сведений в военные комиссариаты;
  • предоставление сведений в профсоюзные органы.
    1. Оператор обрабатывает персональные данные пациентов (законных представителей) исключительно в следующих целях:

– обеспечение организации оказания медицинской помощи населению, а также наиболее полного исполнения обязательств и компетенций в соответствии с законами от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан Российской Федерации», от 12 апреля 2010 г. № 61-ФЗ «Об обращении лекарственных средств» и от 29 ноября 2010 г. № 326-ФЗ «Об обязательном медицинском страховании граждан в Российской Федерации», Правилами предоставления медицинскими организациями платных медицинских услуг, утвержденными постановлением Правительства РФ от 4 октября 2012 г. № 1006.

 

3. Правовые основания обработки персональных данных

 

3.1. Обработка персональных данных осуществляется Оператором на законной и  справедливой основе, правовыми основаниями для обработки являются;

3.1.1.ст.ст.23, 24 Конституции Российской Федерации от 12 декабря 1993 года;

3.1.2.ст.ст.35, 85-90 Трудового кодекса Российской Федерации;

3.1.3.Кодекс Российской Федерации об административных правонарушениях;

3.1.4.Федеральный закон от 22 октября 2004 г. N 125-ФЗ «Об архивном деле в Российской Федерации»;

3.1.5.Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных";

3.1.6.Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите и информации»;

  1. Федеральный закон "О порядке рассмотрения обращений граждан Российской Федерации" от 02.05.2006 № 59-ФЗ;

3.1.8.Федеральный закон от 29.11.2010 N 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;

3.1.9.Федеральный закон от 21.11.2011 N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;

3.1.10.Указ Президента Российской Федерации от 6 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;

3.1.11.Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";

3.1.12. Постановление Правительства Российской Федерации от 15 сентября 2008 г. N 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";

  1. Постановление Правительства РФ от 21.03.2012 N 211 "Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом "О персональных данных" и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами";

3.1.14.Приказ Министерства Здравоохранения РФ от 30.12.2014 N 956н “Об информации, необходимой для проведения независимой оценки качества оказания услуг медицинскими организациями, и требованиях к содержанию и форме предоставления информации о деятельности медицинских организаций, размещаемой на официальных сайтах Министерства Здравоохранения Российской Федерации, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и медицинских организаций в информационно-телекоммуникационной сети "Интернет";

           3.1.15.Нормативно-методический документ. Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К). Утвержден приказом Гостехкомиссии России от 30.08.2002 г. № 282;

  1. Приказ ФСТЭК России от 18.02.2014 № 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";
  2. Приказ ФСБ России от 10 июля 2014 г. N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности";

3.1.18.Нормативно-правовые акты контролирующих органов ФСТЭК России, ФСБ России, Роскомнадзора, касающимися технической защиты персональных данных;

           3.1.19. Постановление Коллегии Администрации Кемеровской области от 15.12.2006 №255 "О Порядке обращения граждан в комиссии по рассмотрению заявлений на получение долгосрочных целевых жилищных займов и социальных выплат на приобретение жилых помещений и перечне документов, представляемых гражданами в комиссии по рассмотрению заявлений на получение долгосрочных целевых жилищных займов и социальных выплат на приобретение жилых помещений";

  1. Локально-правовыми актами Оператора.

3.2. Во исполнение настоящей Политики главным врачом Оператора утверждены следующие локальные нормативные правовые акты:

           3.2.1. Правила обработки персональных данных, устанавливающее процедуры, направленные на выявление и определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований со следующими приложениями:

         3.2.3. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленными ФЗ "О персональных данных", принятыми в соответствии с ним нормативными правовыми актами и локальными актами Оператора.

          3.2.4.Перечень информационных систем персональных данных.

         3.2.5.Перечни персональных данных, обрабатываемых Оператором в связи с реализацией трудовых отношений, а также в связи с оказанием медицинских услуг.

         3.2.6. Перечень должностей работников Оператора, замещение которых предусматривает осуществление обработки персональных данных, либо осуществление доступа к персональным данным.

        3.2.7. Должностная инструкция ответственного за организацию обработки персональных данных Оператором.

        3.2.8. Обязательство работника, осуществляющего обработку персональных данных, о неразглашении  персональных  данных

       3.2.9. Согласия на обработку персональных данных иных субъектов персональных данных (пациентов и их законных представителей), а также типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные;

     3.2.10. Порядок доступа работников Оператора в помещения, в которых ведется обработка персональных данных.

 

4.Объем и категории обрабатываемых персональных данных и субъектов персональных данных

 

  1. К категориям субъектов  обрабатываемых персональных данных относятся:

- работники Оператора и их родственники, кандидаты на замещение вакантных должностей;

-граждане (физические лица), обратившиеся за медицинской помощью;

4.2. Персональные данные работника, кандидатов на замещение вакантных должностей.

4.2.1. Обработка персональных данных  работника  и кандидатов на замещение вакантных должностей осуществляется на основании его письменного согласия, за исключением  случаев, прямо предусмотренных действующим законодательством.

  4.2.2. Информация, представляемая работником при поступлении на работу в Учреждение, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 ТК РФ лицо, поступающее на работу, предъявляет:

паспорт или иной документ, удостоверяющий личность;

трудовую книжку, за исключением случаев, когда договор заключается впервые, или работник поступает на работу на условиях совместительства, или трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;

страховое свидетельство государственного пенсионного страхования;

документы воинского учета - для лиц, подлежащих воинскому учету;

документ об образовании,  о повышении квалификации  или профессиональной переподготовке, о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;

свидетельство о присвоении ИНН;

справку, выданную органами МВД России, о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям (при поступлении на работу, к которой в соответствии с Трудовым кодексом РФ или иным федеральным законом не допускаются лица, имеющие или имевшие судимость, подвергающиеся или подвергавшиеся уголовному преследованию).

4.2.3.Перечень персональных данных, подлежащих обработке в связи с предоставлением сведений о родственниках,  соответствует  объему, предусмотренному унифицированной формой N Т-2, утвержденной постановлением Госкомстата Российской Федерации от 05.01.2004 N 1 "Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты", либо в случаях, установленных законодательством Российской Федерации и включает в себя:

 фамилию, имя, отчество (каждого члена семьи);

 дату рождения (каждого члена семьи).

4.3. Персональные данные пациентов:

       4.3.1. В состав персональных данных пациентов входят документы, содержащие информацию о документах, удостоверяющих личность, страховом полисе ОМС, история болезни, амбулаторная карта, а также иные документы, сопровождающие оказание медицинских услуг.

        4.3.2.  Получение персональных данных пациента осуществляется путем представления законным представителем пациента письменного согласия на обработку персональных данных, за исключением  случаев прямо предусмотренном действующим законодательством РФ.   

       4.3.3. Пациент, как субъект персональных данных, в том числе специальной категории персональных данных, имеет право на получение сведений:

           - об Операторе;

           - о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных;

           - о способах обработки персональных данных, применяемых оператором;

           - о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

           - о  перечне обрабатываемых персональных данных и источниках их получения;

           - о сроках обработки персональных данных, в том числе о сроках их хранения;

           - о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его данных;

           - на ознакомление с персональными данными, за исключением случаев, когда предоставление персональных данных нарушает конституционные права и свободы других лиц.

       4.3.4. Пациент имеет право:

            - требовать у Оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

- доступа к своим Персональным данным при личном обращении к представителю Оператора при наличии паспорта;

- доступа к своим Персональным данным при направлении письменного запроса, который должен содержать номер основного документа, удостоверяющего личность субъекта Персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта Персональных данных;

- оформить доверенность на право доступа к его персональным данным;

- принимать предусмотренные законом меры по защите своих прав.

 

  1. Порядок и условия обработки персональных данных

 

  1. Оператор в своей деятельности по обработке персональных данных руководствуется следующими принципами:

          5.1.1.Обработка персональных данных осуществляется на законной и справедливой основе.

  1. Цели обработки персональных данных соответствуют полномочиям Оператора.
  2. Содержание и объем обрабатываемых персональных данных соответствуют целям обработки персональных данных.

          5.1.4.Достоверность персональных данных, их актуальность и достаточность для целей обработки, недопустимость обработки избыточных по отношению к целям сбора персональных данных.

          5.1.5.Ограничение обработки персональных данных при достижении конкретных и законных целей, запрет обработки персональных данных, несовместимых с целями сбора персональных данных.

          5.1.6.Запрет объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

          5.1.7.Осуществление хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем это требуют цели обработки персональных данных, если срок хранения персональных данных не установлен действующим законодательством. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.

            5.2.Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:

           5.2.1.Назначением ответственного за организацию обработки персональных данных;

           5.2.2.Утверждением главным врачом Оператора локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

5.2.3.Осуществлением внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ "О персональных данных" и принятым в соответствии с ним нормативным правовым актом, требованиям к защите персональных данных;

         5.2.4.Ознакомлением работников Оператора, непосредственно осуществляющих обработку персональных данных, с требованиями законодательства Российской Федерации о персональных данных, в том числе требований к защите персональных данных, локальными актами в отношении обработки персональных данных, и обучением указанных сотрудников;

           5.2.5.Выполнением требований, установленных постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации" при обработке персональных данных, осуществляемой без использования средств автоматизации;

           5.2.6. Применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

5.2.7.Учетом машинных носителей персональных данных;

5.2.8.Выявлением фактов несанкционированного доступа к персональным данным и принятием мер;

         5.2.9.Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

           5.2.10.Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых в информационной системе персональных данных.

5.3. Персональные данные сотрудников Санатория (далее – сотрудники Санатория), граждан, претендующих на вакантные должности Санатория (далее – граждане, претендующие на вакантные должности Санатория), обрабатываются в целях обеспечения кадровой работы, в том числе в целях содействия сотрудникам Санатория в формирования кадрового резерва, обучения и должностного роста, учета результатов исполнения сотрудников Санатория должностных обязанностей, обеспечения личной безопасности сотрудников Санатория, и членов их семьи, обеспечения сотрудникам Санатория установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, сохранности принадлежащего им имущества, а также в целях противодействия коррупции.

5.4. В целях, указанных в пункте 5.3., обрабатываются следующие категории персональных данных сотрудников Санатория, граждан, претендующих на вакантные должности Санатория:

- фамилия, имя, отчество (в т.ч. предыдущие);

- паспортные данные или данные документа, удостоверяющего личность;

- дата рождения, место рождения;

- - отношение к воинской обязанности и иные сведения военного билета и приписного удостоверения;

- данные документов о профессиональном образовании, профессиональной переподготовки, повышении квалификации, квалификационной категории, стажировке;

- данные документов о подтверждении специальных знаний;

- данные документов о присвоении ученой степени, ученого звания, списки научных трудов и изобретений и сведения о наградах и званиях;

- владение иностранными языками;

- семейное положение и данные о составе и членах семьи;

- сведения о социальных льготах, пенсионном обеспечении и страховании;

- данные медицинского заключения (при необходимости);

- стаж работы и другие данные трудовой книжки и вкладыша к трудовой книжке;

- сведения о заработной плате (доходах);

- адрес места жительства (по регистрации и фактический), дата регистрации по указанному месту жительства;

- номер телефона (стационарный домашний, мобильный);

- данные свидетельства о постановке на учет в налоговом органе физического лица по месту жительства на территории РФ (ИНН);

- данные страхового свидетельства государственного пенсионного страхования;

-наличие (отсутствие) судимости;

-государственные и иные награды, знаки отличия.

- иные персональные данные, необходимые для достижения целей, предусмотренных  данной Политикой.

5.5. Обработка персональных данных и биометрических персональных данных сотрудников Санатория, граждан, претендующие на вакантные должности Санатория, осуществляется без согласия указанных лиц в рамках целей в соответствии с пунктом 2 части 1 статьи 6 и частью 2 статьи 11 Федерального закона «О персональных данных», Федерального закона «О противодействии коррупции», Трудовым кодексом Российской Федерации.

5.6. Обработка специальных категорий персональных данных сотрудников Санатория, граждан, претендующих на вакантные должности Санатория, осуществляется без согласия указанных лиц в рамках целей, в соответствии с подпунктом 2.3 пункта 2 части 2 статьи 10 Федерального закона «О персональных данных» и положениями Трудового кодекса Российской Федерации, за исключением случаев получения персональных данных работника у третьей стороны.

5.7. Обработка персональных данных сотрудников Санатория, граждан, претендующих на вакантные должности Санатория, осуществляется при условии получения согласия указанных лиц в следующих случаях:

5.7.1. при передаче (распространении, предоставлении) персональных данных третьим лицам в случаях, не предусмотренных действующим законодательством Российской Федерации;

5.7.2. при трансграничной передаче персональных данных;

5.7.3. при принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.

5.8. Согласие субъекта персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом «О персональных данных».

5.9. Обработка персональных данных сотрудников Санатория, граждан, претендующих на вакантные должности Санатория, осуществляется отделом кадров Санатория (далее – отдел кадров Санатория) и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

5.10. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных сотрудников Санатория, граждан, претендующих на вакантные должности Санатория, осуществляется путем:

5.10.1. получения оригиналов необходимых документов (заявление, трудовая книжка, автобиография, иные документы, предоставляемые в отдел кадров Санатория);

5.10.2. внесения сведений в учетные формы (на бумажных и электронных носителях);

5.10.3. формирования персональных данных в ходе кадровой работы;

5.10.4 внесения персональных данных в информационные системы Санатория, используемые отделом кадров Санатория.

5.11. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от сотрудников Санатория, граждан, претендующих на вакантные должности Санатория.

5.12. В случае возникновения необходимости получения персональных данных сотрудника Санатория у третьей стороны, следует известить об этом сотрудника, получить его письменное согласие и сообщить ему о целях, предполагаемых источниках и способах получения персональных данных.

5.13. Запрещается получать, обрабатывать и приобщать к личному делу сотрудника Санатория персональные данные,  касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.

5.14. При сборе персональных данных сотрудник отдела кадров Санатория, осуществляющий сбор (получение) персональных данных непосредственно от сотрудника Санатория, граждан, претендующих на вакантные должности Санатория, обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные.

5.15. Передача (распространение, предоставление) и использование персональных данных сотрудников Санатория, граждан, претендующих на вакантные должности Санатория, осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами. Сотрудники отдела кадров вправе передавать в бухгалтерию или структурные отделения (персональные данные только сотрудников этого подразделения) персональные данные в случае необходимости исполнения  работником  соответствующего подразделения трудовых обязанностей.

5.16.Условия и порядок обработки персональных данных лиц, состоящих  в родстве с сотрудниками Санатория. В Санатории осуществляется обработка персональных данных родственников (с указанием степени родства) проживающих совместно с сотрудником Санатория, в соответствии с Трудовым кодексом Российской Федерации.

5.16.3. Передача (распространение, предоставление) и использование персональных данных сотрудников Санатория и их родственников, осуществляется лишь в случаях и в порядке, предусмотренных законодательством Российской Федерации.

            5.17.Условия и порядок обработки персональных данных

в связи с предоставлением медицинских услуг. В Санатории обработка персональных данных физических лиц осуществляется в целях предоставления следующих медицинских услуг:

5.17.1. Организация приема граждан, обеспечение своевременного и в полном объеме рассмотрения устных и письменных обращений граждан по вопросам, относящимся к компетенции Санатория;

5.17.2.  Проведение мероприятий по оказанию помощи;

5.17.3. Мониторинг санитарно-курортного лечения;

5.17.4. Система мониторинга оказания специализированной медицинской помощи;

5.18. Обработка персональных данных, необходимых в связи с предоставлением медицинских услуг осуществляется без согласия субъектов персональных данных в соответствии с пунктом 4 части 1 статьи 6 Федерального закона «О персональных данных», Федеральными законами "Об организации предоставления государственных и муниципальных услуг",  Законом Российской Федерации "О средствах массовой информации" и иными нормативными правовыми актами, определяющими предоставление медицинских услуг в установленной сфере ведения Санатория.

5.19. Обработка персональных данных, необходимых в связи с предоставлением медицинских услуг, осуществляется Санаторием, предоставляющим соответствующие медицинские услуги, и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

5.20. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов, обратившихся в Санатории для получения медицинской услуги, осуществляется путем:

5.20.1. получения оригиналов необходимых документов (заявление);

5.20.2. заверения копий документов;

5.20.3. внесения сведений в учетные формы (на бумажных и электронных носителях);

5.20.4. внесения персональных данных в прикладные программные подсистемы информационные системы Санатория.

5.21. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных (заявителей).

5.22. При предоставлении медицинской услуги запрещается запрашивать у субъектов персональных данных и третьих лиц, а также обрабатывать персональные данные в случаях, не предусмотренных законодательством Российской Федерации.

5.23. При сборе персональных данных уполномоченное должностное лицо Санатория, осуществляющее получение персональных данных непосредственно от субъектов персональных данных, обратившихся за предоставлением медицинской услуги, обязано разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить персональные данные.

5.24. Передача (распространение, предоставление) и использование персональных данных заявителей (субъектов персональных данных) Санаторием осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.

5.25. Обработка персональных данных в Санатории может осуществляться путем смешанной обработки  с использованием средств автоматизации и без их использования:   

5.25.1. В Информационных системах персональных данных Санатория;

5.25.2. На не автоматизированных рабочих местах сотрудников отдела кадров и бухгалтерии Санатория, кабинете заведующего отделением.

5.26. Классификация информационных систем персональных данных осуществляется в порядке, установленном законодательством Российской Федерации.

5.27. Сотрудникам Санатория, имеющим право осуществлять обработку персональных данных в информационных системах Санатория, предоставляется уникальный логин и пароль для доступа к соответствующей информационной системе Санатория. Доступ предоставляется к прикладным программным подсистемам в соответствии с функциями, предусмотренными должностными регламентами сотрудников Санатория. Информация может вноситься в автоматическом режиме, при получении персональных данных с официального сайта Санатория, так и в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять ее автоматическую регистрацию.

5.28.  Персональные данные субъектов  хранятся в электронных базах данных и на бумажных носителях в помещении отдела кадров, бухгалтерии. ПД, зафиксированные на бумажных носителях, хранятся в запираемых шкафах, сейфах либо в запираемых помещениях с ограниченным правом доступа.  Личные дела уволенных, а также документация лиц прошедших лечение, хранятся в архиве Санатория.

5.29. Конкретные обязанности по ведению, хранению личных дел субъектов персональных данных, заполнению, хранению и выдаче трудовых книжек, иных документов, содержащих персональные данные, возлагается на сотрудников отдела кадров, а по хранению личных дел уволенных,  документов, оконченных производством, содержащих персональные данные пациентов  – на работника архива.

5.30. Сведения о начислении и выплате заработной платы работникам хранятся в электронных базах данных и на бумажных носителях в помещении бухгалтерии.  По истечении сроков хранения, установленных законодательством РФ, сведения передаются в архив Учреждения.

5.31. Сведения о пациентах (их законных представителях) хранятся  в электронных базах данных и на бумажных носителях в кабинете заведующего отделением,

5.31. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах персональных данных Санатория, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:

5.31.1. определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных Санатория;

5.31.2. применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных Санатория, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

5.31.3. применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;

5.31.4. оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

5.31.5. учет машинных носителей персональных данных;

5.31.6. обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

5.31.7. восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;

5.31.8. установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных Санатория, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных Санатория;

5.32. Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем персональных данных.

5.33. Ответственный за обеспечение информационной безопасности в Санатории, организует и контролирует ведение учета материальных носителей персональных данных.

5.34. Ответственные за обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных в Санатории, должны обеспечить:

5.34.1. своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до ответственного за организацию обработки персональных данных в Санатории и руководителя Санатория;

5.34.2. недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

5.34.3. возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

5.34.4. постоянный контроль за обеспечением уровня защищенности персональных данных;

5.34.5. знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

5.34.6. учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

5.34.7. при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы персональных данных до выявления причин нарушений и устранения этих причин;

5.34.8. разбирательство и составление заключений по фактам несоблюдения условий хранения материальных носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

5.35. Ответственный за обеспечение функционирования информационных систем персональных данных в Санатории, принимает все необходимые меры по восстановлению персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним.

5.36. Обмен персональными данными при их обработке в информационных системах персональных данных Санатория осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения программных и технических средств.

5.37. Доступ сотрудников Санатория к персональным данным, находящимся в информационных системах персональных данных Санатория, предусматривает обязательное прохождение процедуры идентификации и аутентификации.

5.38. В случае выявления нарушений порядка обработки персональных данных в информационных системах персональных данных Санатория уполномоченными должностными лицами незамедлительно принимаются меры по установлению причин нарушений и их устранению.

5.39. Санаторий в соответствии с законодательством Российской Федерации осуществляет обработку персональных данных в рамках межведомственного информационного взаимодействия с органами государственной власти. На основании поступивших межведомственных запросов направляет информацию, включающую персональные данные субъектов, обрабатываемые в Санатории, в следующие федеральные органы исполнительной власти:

5.39.1. в Прокуратуру Кемеровской области - фамилию, имя, отчество, диагноз (для физических лиц, обратившихся за оказанием медицинской помощью), паспортные данные, место жительства и другие персональные данные, указанные в запросе;

5.39.2. в управление федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека по Кемеровской области фамилию, имя, отчество, паспортные данные, место жительства и другие персональные данные, указанные в запросе;

5.39.3. в управление федеральной службы по надзору в сфере здравоохранения по Кемеровской области фамилию, имя, отчество, паспортные данные, место жительства и другие персональные данные, указанные в запросе;

5.39.4. в Администрацию Кемеровской области фамилию, имя, отчество, паспортные данные, место жительства и другие персональные данные, указанные в запросе;

5.39.5. в фонд социального страхования фамилию, имя, отчество, паспортные данные, место жительства и другие персональные данные, указанные в запросе.

5.39.6. в банки для начисления заработной платы (на основании договора и согласия субъекта);

5.40. Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации. С учетом положений законодательства Российской Федерации, устанавливаются следующие сроки обработки и хранения персональных данных сотрудников:

5.40.1. Персональные данные, содержащиеся в приказах по личному составу сотрудников Санатория (о приеме, о переводе, об увольнении, об установлении надбавок), подлежат хранению в отделе кадров Санатория в течение двух лет, с последующим формированием и передачей указанных документов в архив учреждения в порядке, предусмотренном законодательством Российской Федерации.

5.40.2. Персональные данные, содержащиеся в личных делах сотрудников Санатория, а также личных карточках сотрудников Санатория, хранятся в отделе кадров Санатория, с последующим формированием после увольнения сотрудника  и передачей указанных документов в архив в порядке, предусмотренном законодательством Российской Федерации

5.40.3. Персональные данные, содержащиеся в приказах о поощрениях, материальной помощи сотрудников Санатория, подлежат хранению в течение двух лет в отделе кадров Санатория с последующим формированием и передачей указанных документов в архив в порядке, предусмотренном законодательством Российской Федерации.

5.40.4. Персональные данные, содержащиеся в приказах о предоставлении отпусков, о дисциплинарных взысканиях сотрудников Санатория, подлежат хранению в отделе кадров Санатория в течение пяти лет с последующим уничтожением.

5.40.5. Персональные данные, содержащиеся в документах претендентов на вакантные должности Санатория, не допущенных к участию в конкурсе, и кандидатов, участвовавших в конкурсе, хранятся в отделе кадров Санатория в течение 3 лет со дня завершения конкурса, после чего подлежат уничтожению.

5.40.6. Сроки обработки и хранения персональных данных, предоставляемых субъектами персональных данных в Санаторий в связи с получением медицинских услуг, определяются нормативными правовыми актами, регламентирующими порядок их сбора и обработки.

5.40.7. Персональные данные граждан, обратившихся в Санаторий лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, хранятся в течение пяти лет.

5.40.8. Персональные данные, предоставляемые субъектами на бумажном носителе в связи с предоставлением Санаторием медицинских услуг, хранятся на бумажных носителях в Санатории к полномочиям которых относится обработка персональных данных в связи с предоставлением медицинской услуги.

5.40.9. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

5.40.10. Необходимо обеспечивать раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях.

5.40.11. Срок хранения персональных данных, внесенных в информационные системы персональных данных Санатория должен соответствовать сроку хранения бумажных оригиналов.

 

 

  1. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным.

 

  1. В случае подтверждения  факта неточности персональных данных или  неправомерности их обработки, персональные данные подлежат их актуализации Оператором, а обработка должна быть прекращена.
  2. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку, персональные данные подлежат уничтожению, если:

- иное не предусмотрено договором, стороной которого является субъект персональных данных;

- Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными Федеральными законами.

Субъект персональных данных имеет право на получение сведений об обработке его персональных данных.

6.3. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований:

6.3.1. Сотрудниками отдела кадров Санатория осуществляется систематический контроль и выделение документов, содержащих персональные данные, с истекшими сроками хранения, подлежащих уничтожению.

6.3.2. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании экспертной комиссии Санатория (далее - ЭК Санатория), состав которой утверждается приказом Санатория. По итогам заседания составляются протокол и Акт о выделении к уничтожению документов, опись уничтожаемых дел, проверяется их комплектность, акт подписывается председателем и членами ЭК Санатория и утверждается руководителем Санатория.

6.3.3. По окончании процедуры уничтожения составляется соответствующий Акт об уничтожении документов, содержащих персональные данные.

6.3.4. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

6.4. Сотрудники Санатория, граждане, претендующие на вакантные должности Санатория и подавшие документы на участие в конкурсе, лица, замещающие должности руководителей Санатория  и лица, состоящих с ними в родстве (свойстве), а также граждане, персональные данные которых обрабатываются в Санатории в связи с предоставлением медицинских услуг, имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:

6.4.1. подтверждение факта обработки персональных данных в Санатории;

6.4.2. правовые основания и цели обработки персональных данных;

6.4.3. применяемые в Санатории способы обработки персональных данных;

6.4.4. наименование и место нахождения Санатория, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Санаторием или на основании федерального закона;

6.4.5. обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6.4.6. сроки обработки персональных данных, в том числе сроки их хранения в Санатории;

6.4.7. порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных;

6.4.8. информацию об осуществленной или предполагаемой трансграничной передаче данных;

6.4.9. наименование организации или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Санатория, если обработка поручена или будет поручена такой организации или лицу;

6.4.10. иные сведения, предусмотренные законодательством Российской Федерации в области персональных данных.

6.5. Сведения, указанные в подпунктах 6.4.1 – 6.4.10, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

6.6. Сведения, указанные подпунктах 6.4.1 – 6.4.10, предоставляются субъекту персональных данных или его представителю уполномоченным должностным лицом Санатория, осуществляющего обработку соответствующих персональных данных при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать:

6.6.1. номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;

6.6.2. сведения, подтверждающие участие субъекта персональных данных в правоотношениях с Санаторием оператором (документ, подтверждающий прием документов на участие в конкурсе на замещение вакантных должностей, оказание Санаторием медицинской услуги), либо сведения, иным образом подтверждающие факт обработки персональных данных в Санатории, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

6.7. В случае, если сведения, указанные в подпунктах 6.4.1 – 6.4.10, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Санаторий или направить повторный запрос в целях получения указанных сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

6.8. Субъект персональных данных вправе обратиться повторно в Санаторий или направить повторный запрос в целях получения сведений, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в  пункте 6.7. настоящей Политики, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 6.4., должен содержать обоснование направления повторного запроса.

6.9. Санаторий (уполномоченное должностное лицо Санатория) вправе отказать субъекту персональных данных в выполнении повторного запроса, Такой отказ должен быть мотивированным.

            6.10. Субъект персональных данных вправе требовать от Оператора, который их обрабатывает, уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть призваны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.11.Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе в следующих случаях:

6.11.1.если обработка его персональных данных, включая те, что получены в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, выполняется в целях укрепления обороны страны, обеспечения безопасности государства и охраны правопорядка.

6.11.2.при условии, что обработка персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинения по уголовному делу, либо применившими к субъекту персональных данных меру пресечения обвинения, за исключением предусмотренных уголовно-процессуальным законодательством РФ случаев, когда допускается ознакомление подозреваемого или обвиняемого с такими персональными данными.

6.11.3. если обработка персональных данных выполняется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма.

6.11.4.когда доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

6.11.5.если обработка персональных данных осуществляется в случаях, предусмотренных законодательством РФ о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

            6.12. Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Оператору. Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.

            6.13.Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных.

           6.14. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.

 

  1. Заключительные положения

 

  1. Настоящая Политика утверждается приказом главного врача ГБУЗ КО КДКПНС «Искорка».
  2. При изменении законодательства и по необходимости данная Политика подлежит пересмотру.
  3. Настоящая Политика обязательна для соблюдения  и подлежит публикации на официальном сайте Оператора.

 

 

 

 

 

 

 

 

 

 

 

 

ГБУЗ КО Кемеровский детский клинический психоневрологический санаторий "Искорка"| Сайт разработан: ГБУЗ "КОМИАЦ"