СОДЕРЖАНИЕ
-
Общие положения
1.1. Настоящий документ определяет цели, основные принципы и направления действий по обеспечению безопасной обработки персональных данных, основные отношения в области обработки и защиты персональных данных в Государственном бюджетном учреждении здравоохранения “Нехаевская центральная районная больница” (далее – Учреждение) и субъектов этих отношений (далее – Политика).
1.2. Политика разработана в соответствии с Федеральным законом РФ «О персональных данных» № 152-ФЗ от 27 июля 2006 года и действует в отношении всех персональных данных (далее — ПД), которые Учреждение обрабатывает в ходе своей деятельности.
1.3. Правовую основу обработки и защиты ПД в Учреждении составляют следующие документы:
— Конституция РФ;
— Трудовой кодекс РФ;
— Федеральный закон «Об информации, информационных технологиях и о защите информации» от 27.07.06 г. №149-ФЗ;
— Федеральный закон «О персональных данных» от 27.07.06 г. № 152-ФЗ;
— Постановление Правительства РФ от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее – ПП 1119);
— Устав Учреждения и др.
-
Термины и определения
Персональные данные (ПД) — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД).
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПД, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД.
-
Категории субъектов ПД и состав обрабатываемых ПД
3.1. Категории субъектов ПД, в отношении которых производится обработка ПД в Учреждении:
3.1.1. Физические лица, состоящие с Учреждением в трудовых отношениях (сотрудники);
3.1.2. Физические лица, являющиеся близкими родственниками сотрудников;
3.1.3. Физические лица, прекратившие трудовые отношения с Учреждением;
3.1.4. Физические лица, являющиеся кандидатами на должность сотрудника;
3.1.5. Физические лица, являющиеся стороной по гражданским договорам с Учреждением;
3.1.6. Физические лица, обратившиеся за оказанием услуг в учреждение здравоохранение;
3.1.7. Иные физические лица, в отношении которых осуществляется обработка ПД во исполнение полномочий Учреждения.
3.2. Состав обрабатываемых ПД определяется целями обработки и регламентируется Перечнем ПД, подлежащих защите.
-
Цели и принципы обработки и защиты персональных данных
4.1. Основными целями обработки ПД в Учреждении являются:
4.1.1. оказание медицинских, медико-социальных и медико-профилактических услуг;
4.1.2. реализация трудовых отношений с сотрудниками Учреждения, лицами, занимающими должности;
4.1.3. осуществление гражданско-правовых отношений по договорам, заключаемым Учреждением с физическими лицами.
4.2. Основные принципы обработки ПД в Учреждении:
4.2.1. ПД субъекта должны быть получены только от субъекта ПД, при этом субъект ПД должен дать письменное согласие на обработку его ПД. Получение ПД от третьей стороны возможно только в случаях и порядке, установленных Трудовым кодексом Российской Федерации или федеральными законами;
4.2.2. Обработка ПД ведется с использованием средств автоматизации и без использования средств автоматизации.
4.2.3. Обработка ПД осуществляется только в целях, для которых ПД запрашивались, и не дольше, чем этого требуют цели их обработки и сроки хранения. ПД подлежат уничтожению, обезличиванию, или передаче в архив по достижении целей обработки или в случае утраты необходимости в их достижении.
4.2.4. Учреждение вправе предоставлять ПД субъекта ПД третьей стороне только с письменного согласия субъекта ПД за исключением случаев, установленных федеральными законами.
4.3. Основными целями защиты ПД в Учреждении являются:
4.3.1. обеспечение защиты прав и свобод граждан, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;
4.3.2. обеспечение бесперебойной обработки ПД при предоставлении медицинских услуг.
4.4. Основные принципы защиты ПД в Учреждении:
4.4.1. Защита ПД должна носить системный характер и включать в себя комплекс организационно-правовых и технических мероприятий;
4.4.2. Защита ПД должна быть экономически обоснованной и достаточной для обеспечения сохранности ПД и надежного предоставления медицинских услуг, требующих обработки ПД;
4.4.3. Защита ПД должна распространяться на обработку ПД с использованием средств автоматизации и без использования средств автоматизации.
-
Основные направления действий по обеспечению защиты персональных данных
5.1. Основными направлениями действий по обеспечению защиты ПД являются:
5.1.1. правовая защита;
5.1.2. организационная защита;
5.1.3. техническая защита;
5.2. Правовая защита включает в себя утверждение и исполнение комплекса организационно-распорядительных и нормативных документов, обеспечивающих создание и функционирование системы защиты ПД, систему ответственности за неправомерную обработку ПД;
5.3. Организационная защита заключается в формировании системы организационного управления процессами обработки и защиты ПД, документировании деятельности в области обработки и защиты ПД, организации контролируемого доступа к информации и обмена информацией, включающей ПД, формировании системы отношений Учреждения с субъектами ПД, контрольно-надзорными органами, третьими лицами, получающими ПД или передающими ПД, организации аналитической работы в области обработки и защиты ПД;
5.4. Техническая защита включает в себя формирование контролируемой зоны, организацию контрольно-пропускного и внутриобъектового режимов, организацию надежного хранения носителей информации, в том числе, выполнение мер пожарной безопасности; использование технических средств охраны, внедрение комплекса программных и программно-аппаратных средств защиты информации в информационных системах и каналах передачи данных.
-
Права и обязанности субъектов отношений в области обработки и защиты ПД в Учреждении
6.1. В соответствии с законодательством субъект ПД имеет право на:
6.1.1. полную информацию о составе и содержании обработки его ПД;
6.1.2. свободный бесплатный доступ к своим ПД, включая право на получение копий любой записи, содержащей его ПД, за исключением случаев, предусмотренных федеральным законом;
6.1.3. определение своих представителей для защиты своих ПД;
6.1.4. требование об исключении или исправлении неверных или неполных ПД, а также данных, обработанных с нарушением требований законодательства;
6.1.5. требование об извещении Учреждением всех лиц, которым ранее были сообщены неверные или неполные ПД субъекта ПД, обо всех произведенных в них исключениях, исправлениях или дополнениях;
6.1.6. обращение в контрольно-надзорные органы, обжалование в суде любых неправомерных действий или бездействия Учреждения при обработке и защите его ПД.
6.2. Обязанности субъекта ПД при обработке его ПД.
6.2.1. Субъект ПД обязан предоставить Учреждению для обработки полные и достоверные сведения, необходимые для исполнения возложенных на Учреждение обязанностей.
6.2.2. Сообщать Учреждению об изменениях своих ПД.
6.3. В соответствии с законодательством РФ Учреждение является оператором ПД в отношении субъектов ПД, перечисленных в п. 3.1;
6.4. При обработке ПД Учреждение имеет право:
6.4.1. проверять достоверность обрабатываемых ПД субъектов ПД законными способами;
6.4.2. требовать от сотрудников выполнения положений нормативных документов по обработке и защите ПД;
6.4.3. осуществлять контроля выполнения требований по обработке и защите ПД;
6.4.4. привлекать к ответственности сотрудников Учреждения, пациентов и иных лиц, нарушающих требования законодательства по обработке и защите ПД.
6.5. Обязанности Учреждения при обработке ПД:
6.5.1. осуществлять обработку ПД субъекта ПД исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов;
6.5.2. при определении объёма и содержания обрабатываемых ПД субъекта ПД руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом «О персональных данных» от 27.07.06 г. № 152 и иными федеральными законами;
6.5.3. получать все ПД субъекта ПД у него самого. Возможно получение ПД у третьей стороны в случаях и порядке, установленных Трудовым кодексом Российской Федерации, иными федеральными законами;
6.5.4. обеспечить защиту ПД субъектов ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий;
6.5.5. совместно с субъектами ПД и их представителями вырабатывать меры защиты ПД субъектов ПД.
6.6. Контрольно-надзорные функции осуществляют:
6.6.1. Роскомнадзор (Управление Роскомнадзора) – в части соблюдения прав граждан в части обработки и защиты их ПД;
6.6.2. ФСТЭК РФ – в части выполнения требований законодательства РФ по обеспечению технической защиты информации;
6.6.3. ФСБ РФ – в части выполнения требований законодательства РФ по использованию средств криптографической защиты информации.
№40 от 25.01.2023 Политика обр и защ ПД1
