УТВЕРЖДЕНА
приказом главного врача ГБУЗ ВО МНД
№ 20 от 22 января 2018г.
ПОЛИТИКА
в отношении обработки и обеспечения безопасности
персональных данных в
государственном бюджетном учреждении здравоохранения
Владимирской области «Муромский наркологический диспансер»
I. Общие положения
1. Настоящая Политика в отношении обработки и обеспечения безопасности персональных данных в ГБУЗ ВО МНД (далее – Политика) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон) в целях обеспечения защиты прав и свобод физических лиц при обработке ГБУЗ ВО МНД их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также в целях соблюдения требований законодательства Российской Федерации в области персональных данных.
2. Настоящая Политика раскрывает основные принципы и правила, используемые ГБУЗ ВО МНД при обработке персональных данных, в том числе определяет цели, правовые основания, условия и способы такой обработки, категории субъектов персональных данных, персональные данных которых обрабатываются ГБУЗ ВО МНД, а также содержит сведения об исполнении ГБУЗ ВО МНД обязанностей в соответствии с Федеральным законом и сведения о реализуемых ГБУЗ ВО МНД требованиях к защите обрабатываемых персональных данных. Политика действует в отношении всех персональных данных, обрабатываемых ГБУЗ ВО МНД.
3. Обеспечение безопасности персональных данных, законности и справедливости их обработки является одной из приоритетных задач ГБУЗ ВО МНД.
4. Политика является общедоступным документом, декларирующим концептуальные основы деятельности ГБУЗ ВО МНД при обработке персональных данных, и подлежит опубликованию на официальном сайте ГБУЗ ВО МНД в информационно-телекоммуникационной сети «Интернет» (далее – сеть Интернет) по адресу http://www.narcdisp.ru/info/pd/.
5. Понятия и термины, используемые в настоящей Политике, применяются в значениях, установленных Федеральным законом.
6. Настоящая Политика может быть дополнена либо изменена. Изменения в Политику вносятся на основании приказов главного врача ГБУЗ ВО МНД.
II. Информация об операторе
7. ГБУЗ ВО МНД в соответствии с Федеральным законом является оператором, организующим и осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
8. Информация об операторе.
Наименование оператора: Государственное бюджетное учреждение здравоохранения Владимирской области «Муромский наркологический диспансер».
Сокращенное наименование оператора: ГБУЗ ВО МНД.
Адрес местонахождения: Владимирская область, город Муром, площадь Крестьянина, дом 7.
Почтовый адрес оператора: 602267, Владимирская обл., г. Муром, пл. Крестьянина, д. 7
ИНН: 3307011960
Регистрационный номер записи в реестре операторов, осуществляющих обработку персональных данных: 10-0087443.
Дата и основание внесения оператора в реестр операторов, осуществляющих обработку персональных данных: Приказ № 105 от 17.02.2010. Дата начала обработки персональных данных 28.10.1992 г.
III. Правовые основания и цели обработки персональных данных
9. ГБУЗ ВО МНД при обработке персональных данных руководствуется следующими нормативными правовыми актами:
Конституция Российской Федерации;
Трудовой кодекс Российской Федерации;
Налоговый кодекс Российской Федерации;
Семейный кодекс Российской Федерации;
Федеральный закон от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» и принятые в соответствии с ним нормативные акты Российской Федерации;
Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
Федеральный закон Российской Федерации от 24.11.95 № 181-ФЗ «О социальной защите инвалидов в Российской Федерации», Законом Российской Федерации от 20.04.96 № 36-ФЗ «О занятости населения в Российской Федерации»
Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;
Федеральный закон от 02.10.2007 № 229-ФЗ «Об исполнительном производстве»;
Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральный закон от 12.01.1996 № 7-ФЗ «О некоммерческих организациях»;
Федеральный закон от 05.04.2013 № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд»;
Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера» № 188 от 06.03.1997 г.;
Постановление Правительства Российской Федерации от 06.08.1998 № 892 «Об утверждении Правил допуска лиц к работе с наркотическими средствами и психотропными веществами, а также к деятельности, связанной с оборотом прекурсоров наркотических средств и психотропных веществ»,
Постановление Госкомстата России от 05.01.2004 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»;
Приказ Минфина РФ от 21 июля 2011 г. № 86н «Об утверждении порядка предоставления информации государственным (муниципальным) учреждением, ее размещения на официальном сайте в сети Интернет и ведения указанного сайта»;
Постановление Правительства РФ от 04.10.2012 № 1006 «Об утверждении Правил предоставления медицинскими организациями платных медицинских услуг»;
Постановление Правительства РФ от 01.11.2012 № 1119
«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», в котором определены основные требования к указанным информационным системам (ИС).
Приказ Минздрава России от 30.12.2014 № 956н «Об информации, необходимой для проведения независимой оценки качества оказания услуг медицинскими организациями, и требованиях к содержанию и форме предоставления информации о деятельности медицинских организаций, размещаемой на официальных сайтах Министерства здравоохранения Российской Федерации, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и медицинских организаций в информационно-телекоммуникационной сети «Интернет»
10. ГБУЗ ВО МНД обрабатывает персональные данные в целях обеспечения соблюдения законов и иных нормативных правовых актов Российской Федерации;
осуществление медицинской деятельности;
осуществление возложенных на ГБУЗ ВО МНД законодательством Российской Федерации функций, полномочий и обязанностей;
исполнение договоров, стороной которых либо выгодоприобретателем или поручителем, по которым является субъект персональных данных;
содействие работникам в трудоустройстве, обучении и продвижении по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы, обеспечение сохранности имущества ГБУЗ ВО МНД, обеспечение пользования работниками, установленными законодательством Российской Федерации гарантиями, компенсациями и льготами, ведение кадрового делопроизводства;
формирование кадрового резерва и принятие решения о трудоустройстве кандидата на замещение вакантной должности;
реализация права граждан на обращение в государственные органы и органы местного самоуправления;
осуществление прав и законных интересов ГБУЗ ВО МНД и третьих лиц (при условии, что при этом не нарушаются права и свободы субъекта персональных данных), в том числе организация пропускного режима, обеспечение взаимодействия с контрагентами.
IV. Категории субъектов персональных данных, персональные данные которых обрабатываются ГБУЗ ВО МНД, категории персональных данных, и источники получения, сроки обработки и хранения персональных данных
11. ГБУЗ ВО МНД обрабатывает персональные данные следующих категорий субъектов персональных данных:
работники ГБУЗ ВО МНД, состоящие в трудовых отношениях с ГБУЗ ВО МНД;
кандидаты на замещение вакантных должностей ГБУЗ ВО МНД;
пациенты;
представители и наследники пациентов;
волонтёры;
обучающиеся средних медицинских образовательных организаций;
обучающиеся высших медицинских образовательных организаций;
граждане, выразившие желание участвовать в конкурсе по программам специалитета и ординатуры;
граждане, обратившиеся в ГБУЗ ВО МНД;
физические лица, посещающие ГБУЗ ВО МНД, обработка персональных данных которых необходима для однократного пропуска таких лиц в служебные помещения ГБУЗ ВО МНД;
физические лица, являющиеся контрагентами или представителями (работниками) контрагентов ГБУЗ ВО МНД.
12. Категории персональных данных, обрабатываемых ГБУЗ ВО МНД: фамилия, имя, отчество, год, месяц, дата и место рождения, пол, возраст, адрес регистрации и фактического проживания, гражданство, сведения об образовании, о семейном положении, составе семьи для предоставления льгот и вычетов, пособий и иных выплат (степень родства (ближайшие родственники, Ф.И.О. родственников, год их рождения), номера домашнего и мобильных телефонов, адрес электронной почты, профессия и др.), стаж работы (общий, непрерывный, дающий право на выслугу лет), сведения о профессиональных достижениях. Биометрические персональные данные (личные фотографии), представленные по собственному желанию.
Сведения, содержащиеся в документах, удостоверяющих личность, в том числе паспортные данные, ИНН и номер страхового свидетельства государственного пенсионного страхования, фотокопии паспортов, военного билета, документов об образовании, свидетельств о рождении (смерти) детей, матери, отца, виз, разрешений на работу, водительских удостоверений, служебных удостоверений, биометрических персональных данных и других личных документов. Образцы подписи, почерка, личной печати врача.
Сведения о трудовой деятельности, включая занимаемые должности и должностные полномочия и обязанности, информация о работодателях. Сведения о группе инвалидности, степени ограничения к трудовой деятельности (копии справок МСЭ, ИПРА), о выданных листках временной нетрудоспособности с указанием номера листка нетрудоспособности и периода нетрудоспособности.
3. Источниками получения персональных данных, обрабатываемых ГБУЗ ВО МНД, являются:
непосредственно субъекты персональных данных (указанные в пункте 11 настоящей Политики);
Департамент здравоохранения администрации Владимирской области;
иные государственные органы, медицинские организации в случаях, предусмотренных законодательством Российской Федерации.
14. Содержание и объем обрабатываемых ГБУЗ ВО МНД персональных данных категорий субъектов персональных данных, указанных в пункте 11 настоящей Политики, определяются в соответствии с целями обработки персональных данных, указанными в пункте 10 настоящей Политики. ГБУЗ ВО МНД не обрабатывает персональные данные, которые являются избыточными по отношению к указанным целям обработки или несовместимы с такими целями.
15. В случаях, установленных пунктами 2-11 части 1 статьи 6 Федерального закона, обработка ГБУЗ ВО МНД персональных данных осуществляется без согласия субъекта персональных данных на обработку его персональных данных. В иных случаях обработка ГБУЗ ВО МНД персональных данных осуществляется только с письменного согласия субъекта персональных данных на обработку его персональных данных в соответствии со статьей 9 Федерального закона.
Сроки обработки и хранения персональных данных ГБУЗ ВО МНД определяются для каждой цели обработки персональных данных в соответствии с законодательно установленными сроками хранения документации, образующейся в процессе деятельности ГБУЗ ВО МНД, в соответствии со сроком действия договора с субъектом персональных данных, сроками исковой давности, сроками хранения документов бухгалтерского учета и на основании «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», утвержденного приказом Минкультуры Российской Федерации от 25.08.2010 № 558, и иных требований законодательства Российской Федерации, либо до отзыва согласия субъекта на обработку его персональных данных.
V. Принципы и способы обработки персональных данных, перечень действий, совершаемых с персональными данными
16. ГБУЗ ВО МНД в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в статье 5 Федерального закона.
17. ГБУЗ ВО МНД осуществляет обработку персональных данных путем сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), использования, передачи, обезличивания, блокирования, уничтожения.
18. В ГБУЗ ВО МНД используется смешанный (с использованием средств автоматизации и без использования средств автоматизации) способ обработки персональных данных с передачей информации по внутренней локальной сети ГБУЗ ВО МНД и с передачей информации по информационно-телекоммуникационной сети «Интернет» в защищенном режиме.
19. ГБУЗ ВО МНД не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни. Обработка специальных категорий персональных данных, касающихся состояния здоровья, осуществляется ГБУЗ ВО МНД в соответствии с законодательством Российской Федерации, а также, в установленных случаях, по иным основаниям, указанным в части 2 статьи 10 Федерального закона.
20. ГБУЗ ВО МНД не осуществляет обработку биометрических персональных данных субъектов персональных данных (сведений, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).
21. ГБУЗ ВО МНД не осуществляет трансграничную передачу персональных данных на территории иностранных государств.
22. ГБУЗ ВО МНД передает обрабатываемые персональные данные в уполномоченные организации, государственные органы только на основаниях и в случаях, предусмотренных законодательством Российской Федерации, в том числе:
для уплаты налогов на доходы физических лиц, обязательных страховых платежей и взносов;
в целях осуществления правосудия, исполнения судебного акта;
при ответах на официальные письменные мотивированные запросы правоохранительных органов, суда, других уполномоченных государственных органов, военных комиссариатов;
23. В целях информационного обеспечения в ГБУЗ ВО МНД созданы общедоступные источники персональных данных (справочники), в которые с письменного согласия работника ГБУЗ ВО МНД включаются его фамилия, имя, отчество, сведения о должности и месте работы, служебные телефонные номера и иные персонифицированные сведения, сообщаемые работником ГБУЗ ВО МНД для размещения в указанных источниках.
24. ГБУЗ ВО МНД прекращает обработку персональных данных в следующих случаях:
достижение цели обработки персональных данных;
изменение, признание утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных;
выявление неправомерной обработки персональных данных, осуществляемой ГБУЗ ВО МНД;
отзыв субъектом персональных данных согласия на обработку его персональных данных, если в соответствии с Федеральным законом обработка персональных данных допускается только с согласия субъекта персональных данных;
прекращение действия лицензии на осуществление медицинской деятельности;
ликвидация юридического лица.
Уничтожение ГБУЗ ВО МНД персональных данных осуществляется в порядке и сроки, предусмотренные Федеральным законом.
VI. Общая характеристика принимаемых ГБУЗ ВО МНД мер по обеспечению безопасности персональных данных при их обработке
25. ГБУЗ ВО МНД обеспечивает конфиденциальность обрабатываемых персональных данных: не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральными законами.
26. ГБУЗ ВО МНД обеспечивает защиту персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
27. ГБУЗ ВО МНД принимает необходимые правовые, организационные, технические, физические, криптографические меры защиты персональных данных, а также меры, направленные на обеспечение выполнения обязанностей, предусмотренных Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Такие меры, в том числе, включают следующие:
назначение работника ГБУЗ ВО МНД, ответственного за организацию обработки персональных данных;
издание локальных нормативных актов, регламентирующих вопросы обработки и защиты персональных данных;
ознакомление работников ГБУЗ ВО МНД, непосредственно осуществляющих обработку персональных данных, под роспись с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, нормативными актами ГБУЗ ВО МНД, регламентирующими вопросы обработки и защиты персональных данных, а также с ответственностью за разглашение персональных данных, нарушение порядка обращения с документами, содержащими такие данные, и иные неправомерные действия в отношении персональных данных;
создание системы внутреннего контроля соответствия обработки персональных данных законодательству Российской Федерации, в том числе требованиям к защите персональных данных;
анализ и оценка угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
реализация разрешительной системы доступа работников ГБУЗ ВО МНД и иных лиц к персональным данным и связанным с их использованием работам, материальным носителям; обеспечение соблюдения условий, при которых работники ГБУЗ ВО МНД, иные лица получают доступ к персональным данным только в пределах, необходимых для выполнения своих должностных обязанностей, либо в объемах, вызванных необходимостью;
регистрация и учет действий работников ГБУЗ ВО МНД, допущенных к персональным данным;
ограничение доступа работников ГБУЗ ВО МНД и иных лиц в помещения, где размещены технические средства, предназначенные для обработки персональных данных, и хранятся носители персональных данных, к информационным ресурсам, программным средствам обработки и защиты информации;
учет материальных (машинных, бумажных) носителей персональных данных и обеспечение их сохранности;
определение мест хранения материальных носителей персональных данных и обеспечение раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
использование средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
предотвращение внедрения в информационные системы программ-вирусов, программных закладок;
резервирование технических средств и дублирование массивов и носителей информации;
обеспечение защиты персональных данных при подключении информационных систем к информационно-телекоммуникационным сетям, в том числе сети Интернет;
обеспечение защиты персональных данных при их передаче по каналам связи, в том числе каналам связи сети Интернет, с использованием средств криптографической защиты информации и электронной подписи;
восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
своевременное обнаружение фактов разглашения, утечки, несанкционированного доступа к персональным данным и принятие мер по таким фактам;
оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем;
контроль за принимаемыми мерами по обеспечению безопасности персональных данных.
28. Меры по обеспечению безопасности персональных данных при их обработке принимаются ГБУЗ ВО МНД с соблюдением требований Федерального закона, иных нормативных правовых актов Российской Федерации, в том числе следующих:
постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
нормативные документы ФСТЭК России, нормативные документы ФСБ России;
Специальные требования и рекомендации по технической защите конфиденциальной информации, утвержденные приказом Государственной технической комиссии при Президенте Российской Федерации от 30.08.2002 № 282.
VII. Права субъекта персональных данных
29. Субъект персональных данных имеет право на:
получение информации, касающейся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами, в том числе по основаниям, установленным частью 8 статьи 14 Федерального закона;
обжалование действий или бездействия ГБУЗ ВО МНД в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке, если субъект персональных данных считает, что ГБУЗ ВО МНД осуществляет обработку его персональных данных с нарушением требований Федерального закона или иным образом нарушает его права и свободы;
защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
требование от ГБУЗ ВО МНД уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также уведомления о внесенных изменениях и предпринятых мерах третьих лиц, которым персональные данные, относящиеся к соответствующему субъекту, были переданы;
отзыв своего согласия на обработку персональных данных в соответствии со статьей 9 Федерального закона (в случаях, когда обработка ГБУЗ ВО МНД персональных данных осуществляется на основании согласия субъекта персональных данных).
30. Информация, касающаяся обработки персональных данных, предоставляется субъекту персональных данных или его представителю в доступной форме при обращении в ГБУЗ ВО МНД или при получении ГБУЗ ВО МНД запроса субъекта персональных данных или его представителя. Указанный запрос должен быть оформлен в соответствии с требованиями части 3 статьи 14 Федерального закона и может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
31. ГБУЗ ВО МНД обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, предоставить безвозмездно возможность ознакомления с такими персональными данными при обращении субъекта персональных данных или его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя, а также, в установленных Федеральным законом случаях, порядке и сроки, устранить нарушения законодательства Российской Федерации, допущенные при обработке персональных данных, уточнить, блокировать или уничтожить персональные данные соответствующего субъекта персональных данных.
ГБУЗ ВО МНД обязан уведомить субъекта персональных данных или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
VIII. Контактная информация
32. Ответственным за организацию обработки персональных данных в ГБУЗ ВО МНД назначен инженер-программист Софьин Илья Александрович, а в его отсутствие юрисконсульт Ярцева Екатерина Владимировна
Контактная информация:
тел./факс: 8(49234) 2-01-08
адрес: Владимирская обл., г. Муром, пл. Крестьянина, д. 7
e-mail: mnd33@mail.ru
33. Уполномоченным органом по защите прав субъектов персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), управление по Владимирской области.
Контактная информация:
тел.: 8(4922) 37-72-40;
адрес: 600000, г. Владимир, ул. 1-я Пионерская, д. 92;
e-mail: Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript.;
официальный сайт в сети Интернет: http://33.rkn.gov.ru/