Политика конфиденциальности
-
Общие положения
1.1 Положение об обработке персональных данных в ГУЗ «Липецкая ГП №4» (Учреждение) (далее – Положение) разработано с целью организации обработки персональных данных (ПДн) сотрудников и иных субъектов, ПДн которых подлежат обработке в Учреждении, определения порядка получения, обработки, передачи ПДн, установления прав, обязанностей и ответственности должностных лиц, имеющих доступ к ПДн, за невыполнение требований норм, регулирующих обработку и защиту ПДн.
1.2 Настоящее Положение разработано на основании и во исполнение:
- Конституции Российской Федерации;
- Трудового кодекса Российской Федерации;
- Кодекса Российской Федерации об административных правонарушениях;
- Гражданского кодекса Российской Федерации;
- Федерального закона Российской Федерации от 27.07.2006 № 152-ФЗ «О персональных данных»;
- Постановления Правительства Российской Федерации от 01.10.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Постановления Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановления Правительства РФ от 21.03.2012 №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»[1].
1.3 Положение предназначено для сотрудников Учреждения, на которых возложено решение задач обработки и обеспечения безопасности ПДн, а также для сотрудников Учреждения, осуществляющих обработку ПДн.
1.4 Обработка ПДн должна осуществляться на основе следующих принципов:
- обработка ПДн должна осуществляться на законном основании;
- обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей;
- не допускается обработка ПДн, несовместимая с целями сбора ПДн;
- обработке подлежат только ПДн, которые отвечают целям их обработки;
- содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки;
- обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки;
- при обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн;
- оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
- обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом;
- обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;
- соблюдения принципов и правил обработки ПДн при поручении такой обработки другому лицу;
- соблюдение конфиденциальности ПДн;
- соблюдением обязанностей, возлагаемых на оператора ПДн, действующим законодательством и иными нормативными актами по ПДн;
- принятии мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных законодательством в области ПДн;
- недопустимости ограничения прав и свобод человека и гражданина по мотивам, связанным с использованием различных способов обработки ПДн или обозначения принадлежности ПДн, содержащихся в государственных или муниципальных информационных системах ПДн, конкретному субъекту ПДн;
- недопустимости использования оскорбляющих чувства граждан или унижающих человеческое достоинство способов обозначения принадлежности ПДн, содержащихся в государственных или муниципальных информационных системах ПДн, конкретному субъекту ПДн;
- личной ответственности должностных лиц, осуществляющих обработку ПДн;
- документального оформления всех принятых решений по обработке ПДн.
1.5 Требования Положения являются обязательными для исполнения всеми работниками Учреждения, имеющими доступ к ПДн. Работники Учреждения, участвующие в обработке ПДн, должны быть ознакомлены с настоящим Положением под роспись.
1.6 Требования настоящего Положения должны пересматриваться при изменении организационной структуры системы обеспечения информационной безопасности Учреждения, в других случаях при необходимости внесения изменений в организацию и порядок обработки ПДн.
1.7 Ответственность в соответствии с законодательством Российской Федерации за организацию обработки ПДн возлагается на руководителя Учреждения.
-
Основные понятия, используемые в Политике
В рамках настоящего Положения используются следующие термины, определения и понятия:
- блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель;
- информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
- использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц, либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
- конфиденциальность персональных данных – обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным субъектов, требование не допускать их распространения без согласия субъекта или иного законного основания;
- обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
- обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- обработка персональных данных без использования средств автоматизации (неавтоматизированная) – обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека;
- общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами РФ не распространяется требование соблюдения конфиденциальности;
- оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- субъект персональных данных – физическое лицо, чьи персональные данные подлежат обработке;
- уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
-
Основные условия проведения обработки ПДн
-
3.1 Субъект ПДн является собственником своих ПДн и самостоятельно по своей воле принимает решение о передаче оператору своих ПДн и дает согласие на их обработку, за исключением случаев, предусмотренных п. 3.2 настоящего Положения. Согласие на обработку ПДн может быть отозвано субъектом ПДн (типовые формы Согласия субъекта персональных данных на обработку персональных данных и Отзыва согласия приведены в Приложении 2 и Приложении 3 соответственно).
Обращения субъектов ПДн о соблюдении их законных прав регистрируются сотрудниками отдела по работе с обращениями граждан в специальном журнале по мере поступления обращений.
3.2 Согласие субъекта на обработку его ПДн не требуется в следующих случаях:
- обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);
- обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
- обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;
- обработка персональных данных осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных;
- осуществляется обработка персональных данных, доступ неограниченного круга лиц, к которым предоставлен субъектом персональных данных либо по его просьбе (персональные данные, сделанные общедоступными субъектом персональных данных);
- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
3.3 Держателем ПДн является Учреждение, которому субъект ПДн добровольно передает во владение свои ПДн. Учреждение выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством.
3.4 Получение, хранение, передача или любое другое использование ПДн субъекта ПДн может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, обучении и продвижении по службе, обеспечения личной безопасности субъектов ПДн, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
3.5 Получение ПДн может осуществляться как путем представления их самим субъектом, так и путем получения их из иных источников.
3.6 Если ПДн возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Учреждение должно сообщить субъекту о целях, предполагаемых источниках и способах получения ПДн, а также о характере подлежащих получению ПДн и последствиях отказа субъекта дать письменное согласие на их получение (типовая форма Оповещения субъекта персональных данных об обработке его персональных данных приведена в Приложении 4).
3.7 Полный состав должностных лиц, имеющих доступ к обработке ПДн работников и соискателей, утверждается руководителем Учреждения, определенного на основе заявок (форма заявки представлена в Приложении 5) на определение полномочий доступа пользователя к ПДн, обрабатываемых в Учреждении (типовая форма Списка пользователей, допущенных к обработке персональных данных, приведена в Приложении 6).
3.8 Потребителями ПДн являются юридические лица, обращающиеся к собственнику или держателю ПДн за получением необходимых сведений.
3.9 Учреждение на основании договора может поручать обработку ПДн третьим лицам. Передача документов (иных материальных носителей), содержащих ПДн, третьим лицам осуществляется при наличии у лица, уполномоченного на их получение:
- договора на оказание услуг;
- соглашения о неразглашении конфиденциальной информации, либо наличия в договоре с третьим лицом пунктов о неразглашении конфиденциальной информации, в том числе, предусматривающих защиту ПДн субъекта ПДн;
- письма-запроса от третьего лица, которое должно включать в себя указание на основания получения доступа к запрашиваемой информации, содержащей ПДн субъекта ПДн, ее перечень, цель использования, фамилию, имя, отчество и должность лица, которому поручается получить данную информацию.
3.10 Передача ПДн третьим лицам осуществляется с обязательным составлением акта приема-передачи документов (иных материальных носителей), содержащих ПДн субъектов ПДн (типовая форма Акта приема-передачи документов (иных материальных носителей), содержащих персональные данные, приведена в Приложении 7).
3.11 Не допускается получение и обработка ПДн субъекта ПДн о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни, а также о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных п. 3.12 настоящего Положения.
3.12 Обработка указанных в п. 3.11 настоящего Положения ПДн допускается в случаях, если:
- субъект ПДн дал согласие в письменной форме на обработку своих ПДн;
- ПДн сделаны общедоступными субъектом ПДн;
- обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта ПДн невозможно;
- обработка ПДн осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
- обработка ПДн необходима для установления или осуществления прав субъекта ПДн или третьих лиц, а равно и в связи с осуществлением правосудия;
- обработка ПДн осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;
- обработка ПДн осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.
3.13 Обработка ПДн, перечисленных в п. 3.12 настоящего Положения, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка.
3.14 Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические ПДн), могут обрабатываться только при наличии согласия субъекта ПДн в письменной форме, за исключением случаев, предусмотренных п. 3.15 настоящего Положения.
3.15 Обработка биометрических ПДн может осуществляться без согласия субъекта ПДн в связи с осуществлением правосудия и исполнением судебных актов, а также в случаях, предусмотренных законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, о государственной службе, уголовно-исполнительным законодательством Российской Федерации, законодательством Российской Федерации о порядке выезда из Российской Федерации и въезда в Российскую Федерацию.
3.16 Процедура оформления доступа к ПДн субъекта предусматривает ознакомление с настоящим Положением лиц, допущенных к обработке ПДн, под роспись, а также истребование с лиц, допущенных к обработке ПДн, письменного обязательства о соблюдении конфиденциальности ПДн субъекта и соблюдении правил их обработки, подготовленного по установленной форме (типовая форма Обязательства о неразглашении персональных данных субъектов приведена в Приложении 8).
-
-
Порядок обработки персональных данных
-
- Определение способов обработки ПДн в Учреждении
- Обработка ПДн подразделяется на:
- Определение способов обработки ПДн в Учреждении
- обработка ПДн, осуществляемая в автоматизированном режиме (в информационных системах (ИС));
- обработка ПДн, осуществляемая без использования средств автоматизации.
- Обработка ПДн в в автоматизированном режиме (в ИС)
4.2.1 Обработка ПДн в ИС с использованием средств автоматизации осуществляется в соответствии с требованиями Постановления Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти.
4.3.2 Не допускается обработка ПДн в ИС с использованием средств автоматизации, если применяемые меры и средства обеспечения безопасности не соответствуют требованиям, утвержденным Постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
4.4.3 Обработка ПДн с использованием средств автоматизации осуществляется в рамках ИС Учреждения и внешних информационных систем, предоставляемых сторонними организациями. Состав ИС Учреждения приведен ниже:
- ИС «1-С Предприятие 8.2»;
- ИС «Региональная информационно-аналитическая медицинская система» (РИАМС)
- Информационные ресурсы министерства здравоохранения Российской Федерации.
- Обработка ПДн, осуществляемая без использования средств автоматизации
- Правила обработки ПДн без использования средств автоматизации
- Сотрудники Учреждения, осуществляющие обработку ПДн без использования средств автоматизации, должны быть проинформированы о факте обработки ими ПДн, обработка которых осуществляется Учреждением без использования средств автоматизации, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами Учреждения.
- При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них ПДн (далее - типовая форма), должны соблюдаться следующие условия:
- Правила обработки ПДн без использования средств автоматизации
- Обработка ПДн, осуществляемая без использования средств автоматизации
- типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки ПДн, осуществляемой без использования средств автоматизации; имени (наименовании) и адресе Учреждения; фамилию, имя, отчество и адрес субъекта ПДн; источник получения ПДн; сроки обработки ПДн; перечень действий с ПДн, которые будут совершаться в процессе их обработки; общее описание используемых Учреждении способов обработки ПДн;
- типовая форма должна предусматривать поле, в котором субъект ПДн может поставить отметку о своем согласии на обработку ПДн, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку ПДн;
- типовая форма должна исключать объединение полей, предназначенных для внесения ПДн, цели обработки которых заведомо не совместимы.
-
-
- ПДн при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).
- При фиксации ПДн на материальных носителях не допускается фиксация на одном материальном носителе ПДн, цели обработки которых заведомо не совместимы. Для обработки различных категорий ПДн, осуществляемой без использования средств автоматизации, для каждой категории ПДн должен использоваться отдельный материальный носитель.
- Необходимо обеспечивать раздельное хранение ПДн (материальных носителей), обработка которых осуществляется в различных целях.
- Порядок обработки ПДн без использования средств автоматизации
- Обработка ПДн без использования средств автоматизации осуществляется в рамках осуществления кадровой работы с персоналом Учреждения, а также в рамках повышения качества оказываемых медицинских услуг (прием жалоб граждан на качество оказываемых медицинских услуг).
- Обработка ПДн без использованием средств автоматизации, осуществляемая в рамках ведения кадровой деятельности Учреждения, осуществляется при заключении трудового договора с работником, заполнении им личной карточки формы Т-2, автобиографии и другой необходимой при приеме на работу документации:
-
-
- паспорт или иной документ, удостоверяющий личность;
- трудовая книжка, за исключением случаев, когда работник принимается на работу впервые или на условиях совместительства;
- страховое свидетельство государственного пенсионного страхования;
- документы воинского учета – для военнообязанных и лиц, подлежащих призыву на военную службу (военный билет);
- документы об образовании, о квалификации или наличии специальных знаний (диплом, свидетельство об аттестации и присвоении категории, документ об усовершенствовании или специализации);
- документы о присвоении ученой степени, ученого звания;
- документы, подтверждающие те или иные факты, касающиеся жизни сотрудника (например, свидетельство о заключении брака и расторжении брака, свидетельство о рождении ребенка);
- документы, подтверждающие наличие наград, присвоении званий и т.д.;
- свидетельство о постановке на учет в налоговом органе (при наличии);
- необходимые справки (например, справка о доходах по форме НДФЛ-2 с прежнего места работы).
-
-
- Обработка ПДн без использования средств автоматизации, осуществляемая в рамках повышения качества оказываемых медицинских услуг, осуществляется при получении жалоб от граждан, путем заполнения соответствующего обращения.
-
- Получение персональных данных.
-
4.4.1 Получение персональных данных работника возможно двумя способами:
- добровольно передаются сотрудником непосредственно держателю этих данных и потребителями внутри Учреждения исключительно для обработки и использования в работе.
- от третьей стороны в случае отсутствия возможности получения такой информации от ее собственника при условии его уведомления о цели, характере, предполагаемом источнике, способе получения и последствиях не получения его персональных данных, а также при наличии письменного согласия этого сотрудника.
4.4.2 При заключении трудового договора с работником, заполнении личной карточки формы Т-2, автобиографии и другой необходимой при приеме на работу документации используются следующие документы:
- паспорт или иной документ, удостоверяющий личность;
- трудовая книжка, за исключением случаев, когда работник принимается на работу впервые или на условиях совместительства;
- страховое свидетельство государственного пенсионного страхования;
- документы воинского учета – для военнообязанных и лиц, подлежащих призыву на военную службу (военный билет);
- документы об образовании, о квалификации или наличии специальных знаний (диплом, свидетельство об аттестации и присвоении категории, документ об усовершенствовании или специализации);
- документы о присвоении ученой степени, ученого звания;
- документы, подтверждающие те или иные факты, касающиеся жизни сотрудника (например свидетельство о заключении брака и расторжении брака, свидетельство о рождении ребенка);
- документы, подтверждающие наличие наград, присвоении званий и т.д.;
свидетельство о постановке на учет в налоговом органе (при наличии);
- необходимые справки (например, справка о доходах по форме НДФЛ-2 с прежнего места работы).
4.4.3 Сотрудник отдела кадров, ответственный за документационное обеспечение кадровой деятельности, принимает от принимаемого на работу сотрудника документы, проверяет полноту их заполнения и правильность указываемых сведений в соответствии с предъявленными документами, и вносит персональные данные сотрудника в соответствующую кадровую документацию.
4.4.3 Получение ПДн Субъектов ПДн, не являющихся сотрудниками Учреждения осуществляется в рамках предоставления предоставление гражданам медицинской помощи в Учреждении, направления граждан за пределы области для оказания им высокотехнологичной медицинской помощи; проведения профилактических осмотров и диспансерного наблюдения, а также повышения качества предоставляемых медицинских услуг.
4.4.4 В случае отказа предоставить ПДн оператор обязан разъяснить субъекту ПДн или его законному представителю юридические последствия отказа предоставления ПДн. Типовая форма разъяснения представлена в Приложении 11.
-
- Лицо, ответственное за организацию обработки ПДн в Учреждении
- Приказом по Учреждению, назначается лицо, ответственное за организацию обработки ПДн в Учреждении (далее - Ответственное лицо). Ответственным за организацию обработки ПДн в Учреждении назначается сотрудник в должности начальника отдела АСУ Яськова Андрея Александровича.
- Ответственное лицо получает указания непосредственно от руководителя Учреждения и подотчетно ему.
- Ответственное лицо обязано:
- Лицо, ответственное за организацию обработки ПДн в Учреждении
- осуществлять внутренний контроль за соблюдением в Учреждении законодательства Российской Федерации о ПДн, в том числе за соблюдением правил обработки ПДн;
- доводить до сведения сотрудников Учреждения положения законодательства Российской Федерации о ПДн, локальных актов по вопросам обработки ПДн, требований к защите ПДн;
- организовывать прием и обработку обращений и запросов субъектов ПДн или их представителей и (или) осуществлять контроль за приемом и обработкой таких обращений и запросов.
- Хранение персональных данных сотрудников Учреждения.
4.6.1 Личное дело сотрудника формируется после издания приказа о его приеме на работу. Дело обязательно содержит:
- личную карточку формы Т-2;
- трудовой договор;
- медицинскую справку, разрешающую допуск к осуществлению трудовых обязанностей Учреждение;
- расписка сотрудника об ознакомлении с настоящим Положением;
- расписка сотрудника об ознакомлении его с локальными нормативными актами организации.
4.6.2 Личное дело может содержать документы, содержащие ПДн сотрудника, отражающие как процесс приема на работу, так и следующие изменения в трудовом договоре (например, заявление сотрудника о приеме на работу, характеристика-рекомендация, копии документов о квалификационной категории и т.д.).
4.6.3 Личное дело пополняется на протяжении всей трудовой деятельности сотрудника в Учреждении. Изменения, вносимые в карточку формы Т-2, должны быть подтверждены соответствующими документами (например, копия свидетельства о браке).
4.6.4 В отделе кадров Учреждения хранятся следующие документы, содержащие ПДн работников:
- Трудовые книжки. Порядок их хранения определяется действующими законами и другими нормативно-правовыми актами РФ. В Учреждении трудовые книжки хранятся в оборудованном сейфе, внутри которого они размещены в специальном ящике в зависимости от категории персонала (врачебный, средний, административно-хозяйственный и гараж) и расположены по алфавиту. Трудовые книжки и их дубликаты, не полученные сотрудниками при прекращении трудового договора, хранятся в течение двух лет в отделе кадров Учреждение, а отдельно от остальных трудовых книжек сотрудников, состоящих на работе. После этого невостребованные трудовые книжки (их дубликаты) хранятся в архиве Учреждение в течение пятидесяти лет, а по истечении указанного срока подлежат уничтожению в установленном порядке.
- Трудовые договора. В Учреждение хранится один из двух экземпляров трудового договора, заключенного с работником. Трудовые договора подшивают в специальную папку.
- Личные карточки сотрудников формы Т-2, работающих в настоящее время. Для хранения используются специально оборудованные ящики. Личные карточки располагаются в алфавитном порядке по разделам: врачи, средний медперсонал, работники административно-хозяйственного отдела, гараж.
- Приказы о приеме на работу, изменении и прекращении трудового договора, а также другие приказы по личному составу. Подлинник приказа остается на хранении в отделе кадров, копия передается в бухгалтерию для оформления лицевого счета и начисления зарплаты.
4.6.5 В личном деле сотрудников содержатся следующие документы, содержащие ПДн сотрудников:
- личный листок по учету кадров;
- автобиография;
- копия приказа о приеме на работу, об изменении трудового договора и т.д.;
- копии документов, подтверждающих соответствие занимаемой должности;
- копии характеристик, представлений, рекомендаций и т.п.
Эти документы хранятся в папках в алфавитном порядке фамилий сотрудников.
При оформлении приема на работу сотрудники обязательно и самостоятельно заполняют автобиографию. Автобиография является документом личного дела, представляющим собой перечень вопросов о биографических данных сотрудника, его образовании, выполняемой работе с начала трудовой деятельности, семейном положении, месте проживания и т.п. При заполнении автобиографии сотрудник должен заполнять все графы, на все вопросы давать полные ответы, не допускать исправлений или зачеркивания, прочерков, помарок, в строгом соответствии с записями, которые содержаться в его личных документах.
4.6.6 В бухгалтерии Учреждения хранятся следующие документы, содержащие ПДн сотрудников:
- лицевые карточки на текущий год. Размещаются в специально оборудованном шкафу. Лицевые карточки за прошедший год подшиваются и передаются в архив Учреждения
- ведомости о начислении заработной платы и других выплат;
- справки о доходах работников с прежнего места работы;
- копии необходимых документов (например, свидетельство о рождении ребенка в целях уменьшения налогооблагаемой базы).
4.6.7 После прекращения трудового договора, а также по истечении срока хранения документов в отделе кадров и отдел бухгалтерского учета и отчетности документы по личному составу (личные карточки формы Т-2, лицевые карточки) передаются на хранение в архив.
-
- Хранение ПДн субъектов ПДн, не являющиеся сотрудниками Учреждения.
4.7.1 ПДн субъектов ПДн, не являющиеся сотрудниками Учреждения (лица, обратившиеся за медицинской помощью в медицинские организации области; лица, обратившиеся за высокотехнологичной медицинской помощью в Учреждение) хранятся в базах данных управления здравоохранения Липецкой области и по достижении целей обработки ПДн передаются в электронный архив управления.
4.7.2 ПДн субъектов ПДн, не являющиеся сотрудниками Учреждения, обратившимся с жалобой на качество оказываемых медицинских услуг, хранятся в металлических шкафах, размещенных в отделе по работе с обращениями граждан, металлические шкафы в отделе.
-
- Доступ к персональным данным работника.
4.8.1 Внешний доступ.
К числу массовых потребителей ПДн в Учреждении относятся государственные и негосударственные функциональные структуры:
- налоговые инспекции;
- правоохранительные органы;
- органы статистики;
- страховые агентства;
- военные комиссариаты;
- органы социального страхования;
- пенсионные фонды;
- медицинские организации Липецкой области.
Органы, осуществляющие надзорные и контрольные функции, имеют доступ к информации только в сфере своей компетенции.
ПДн субъекта ПДн могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта. В случае развода бывшая супруга (супруг) имеют право обратиться в организацию с письменным запросом о размере заработной платы сотрудника Учреждения без его согласия.
4.8.2 Внутренний доступ.
Внутри Учреждения к разряду потребителей ПДн, помимо руководителя и его заместителей, относятся сотрудники структурных подразделений, которым эти данные необходимы для выполнения должностных обязанностей:
- сотрудники отдела организации медицинской помощи взрослому населению (начальник отдела, заместитель начальника отдела, главный консультант, консультант, ведущий специалист-эксперт);
- сотрудники отдела кадров (начальник отдела, заместитель начальника отдела, ведущий консультант, консультант, ведущий специалист-эксперт, старший статистик);
- сотрудники финансово-экономического отдела (начальник отдела, ведущий консультант, консультант);
- сотрудники отдела контроля качества и безопасности медицинской деятельности (начальник отдела, главный консультант, главный специалист-эксперт);
- сотрудники отдела бухгалтерского учета и отчетности (начальник отдела, заместитель начальника отдела, старший бухгалтер, старший специалист 1 разряда);
- сотрудники отдела автоматизированных систем управления (начальник отдела, консультант, ведущий специалист-эксперт);
- сотрудники отдела лекарственного обеспечения (заместитель начальника отдела, ведущий консультант, консультант).
-
- Доступ субъектов ПДн к ПДн, обрабатываемым в Учреждении
4.9.1 Субъект ПДн имеет право на свободный доступ к своим ПДн, включая право на получение копии любой записи (за исключением случаев, когда предоставление ПДн нарушает конституционные права и свободы других лиц), содержащей его ПДн. Субъект имеет право вносить предложения по внесению изменений в свои ПДн в случае обнаружения в них неточностей.
4.9.2 Субъект ПДн – сотрудник Учреждения или его законный представитель, получает доступ к своим ПДн или к иной информации, касающейся обработки его ПДн по запросу в следующие подразделения:
- Отдел кадров и отдел бухгалтерского учета и отчетности – для выдачи документов, связанных с его трудовой деятельностью (копии приказов о приеме на работу, переводу на другую работу, увольнении с работы, выписок из трудовой книжки, справок о месте работы, периоде работы в Учреждение);
- Субъект ПДн – иное физическое лицо или его законный представитель, получает доступ к своим ПДн или к иной информации, касающейся обработки его ПДн по запросу Ответственному лицу.
4.9.3 Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Учреждении (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Учреждением, подпись субъекта ПДн или его представителя. В случае направления запроса по почте, он должен содержать нотариально заверенную подпись субъекта ПДн или его законного представителя (типовая форма запроса о доступе к ПДн представлена в приложении 10).
4.9.4 Субъект ПДн имеет право на получение при обращении информации, касающейся обработки его ПДн, в том числе содержащей:
1) подтверждение факта обработки ПДн Учреждением;
2) правовые основания и цели обработки ПДн;
3) цели и применяемые Учреждением способы обработки ПДн;
4) наименование и место нахождения Учреждения, сведения о лицах (за исключением сотрудников Учреждение), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании федерального закона;
5) обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки ПДн, в том числе сроки их хранения;
7) порядок осуществления субъектом ПДн прав, предусмотренных федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Учреждения, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные федеральными законами.
4.9.5 Уполномоченные лица обязаны сообщить субъекту ПДн или его законному представителю информацию о наличии ПДн, относящихся к соответствующему субъекту ПДн, а также предоставить возможность ознакомления с ними при обращении субъекта ПДн или его законного представителя не позднее тридцати рабочих дней с даты получения запроса субъекта ПДн или его законного представителя.
4.9.6 Ответ в адрес субъекта ПДн может быть направлен через отделение почтовой связи заказным письмом с уведомлением о вручении или курьером (непосредственно в руки адресату под роспись).
4.9.7 В случае отказа в предоставлении субъекту ПДн или его законному представителю при обращении либо при получении запроса субъекта ПДн или его законного представителя информации о наличии ПДн о соответствующем субъекте ПДн, а также таких ПДн, уполномоченные лица обязаны дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий тридцати рабочих дней со дня обращения субъекта ПДн или его законного представителя, либо с даты получения запроса субъекта ПДн или его законного представителя.
4.9.8 Мотивированный ответ в адрес субъекта ПДн может быть направлен через отделение почтовой связи заказным письмом с уведомлением о вручении или курьером (непосредственно в руки адресату под роспись).
4.9.9 В случае отзыва субъектом ПДн согласия на обработку его ПДн Учреждение обязано прекратить их обработку или обеспечить прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению Учреждения) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Учреждения) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Учреждением и субъектом ПДн, либо если Учреждение не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных федеральными законами.
4.9.10 В случае выявления неправомерной обработки ПДн при обращении субъекта ПДн или его представителя либо по запросу субъекта ПДн или его представителя либо уполномоченного органа по защите прав субъектов ПДн Учреждение обязано осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Учреждение) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных ПДн при обращении субъекта ПДн или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн Учреждение обязано осуществить блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Учреждения) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы субъекта ПДн или третьих лиц.
4.9.11 В случае подтверждения факта неточности ПДн Учреждение на основании сведений, представленных субъектом ПДн или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов обязано уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Учреждения) в течение семи рабочих дней со дня представления таких сведений и снять блокирование ПДн.
4.9.12 В случае выявления неправомерной обработки ПДн, осуществляемой Учреждением или лицом, действующим по поручению Учреждения, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Учреждения. В случае, если обеспечить правомерность обработки ПДн невозможно, Учреждение в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн, обязано уничтожить такие ПДн или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении ПДн Учреждение обязано уведомить субъекта ПДн или его представителя, а в случае, если обращение субъекта ПДн или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган.
4.9.13 В случае достижения цели обработки ПДн Учреждение обязано прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Учреждения) и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Учреждения) в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Учреждением и субъектом ПДн, либо если Учреждение не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных федеральными законами.
4.9.14 Передача (обмен и т.д.) ПДн между отделами (подразделениями) Учреждения осуществляется только между сотрудниками, имеющими доступ к ПДн субъектов.
4.9.15 При передаче ПДн субъекта сотрудники, осуществляющие передачу, предупреждают лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены.
4.9.16 Допуск к ПДн сотрудников Учреждения, не имеющим надлежащим образом оформленного разрешения, запрещается.
-
- При передаче персональных данных ответственные лица должны соблюдать следующие требования:
4.10.1 Не сообщать ПДн субъекта ПДн третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.
4.10.2 Не сообщать ПДн субъекта ПДн в коммерческих целях без его письменного согласия.
4.10.3 Предупредить лиц, получающих ПДн субъекта ПДн, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие ПДн субъекта ПДн, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется на обмен ПДн субъектов ПДн в порядке, установленном федеральными законами.
4.10.4 Осуществлять передачу ПДн субъекта ПДн в пределах одной организации в соответствии с настоящим Положением.
4.10.5 Разрешать доступ к ПДн субъекта ПДн только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПДн субъекта ПДн, которые необходимы для выполнения конкретных функций, в соответствии со своими полномочиями и должностными инструкциями.
4.10.6 Передавать ПДн субъекта ПДн представителям субъекта ПДн в порядке, установленном настоящим Положением, и ограничивать эту информацию только теми ПДн субъекта ПДн, которые необходимы для выполнения указанными представителями их функций.
-
- Уничтожение ПДн
4.11.1 ПДн подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
4.11.2 Уничтожение ПДн, не подлежащих архивному хранению, осуществляется только комиссией в составе представителя подразделения (или сотрудника), ответственного за защиту ПДн и представителя структурного подразделения, в чьем ведении находятся указанные ПДн. По результатам уничтожения должен оформляться Акт об уничтожении.
4.11.3 В случае достижения цели обработки ПДн оператор обязан незамедлительно прекратить обработку ПДн и уничтожить соответствующие ПДн в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных. Цели обработки ПДн Учреждения определяются его руководителем.
4.11.4 Оператор обязан уничтожить ПДн субъекта ПДн в случае отзыва субъекта ПДн согласия на обработку своих ПДн.
4.11.5 Сведения, содержащие ПДн, и относимые к архивным документам, образующимся в процессе деятельности Учреждения, включаются в состав электронных архивов Учреждения и хранятся согласно установленным законодательством срокам отдельно от баз данных информационных систем Учреждения.
-
-
Защита персональных данных
-
5.1 В целях обеспечения защиты ПДн лица, имеющие доступ к ним, обязаны строго выполнять требования, указанные разделах 3-4.
5.2 В целях обеспечения защиты персональных данных, хранящихся в Учреждении, работники Учреждения имеют право на:
- полную информацию об их ПДн и обработке этих данных;
- свободный бесплатный доступ к своим ПДн, включая право на получение копий любой записи, содержащей ПДн сотрудника, за исключением случаев, предусмотренных федеральным законом;
- определение своих представителей для защиты своих ПДн;
- доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;
- требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса РФ. При отказе работодателя исключить или исправить ПДн сотрудника он имеет право заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. ПДн оценочного характера сотрудник имеет право дополнить заявлением, выражающим его собственную точку зрения;
- требование об извещение работодателем всех лиц, которым ранее были сообщены неверные или неполные ПДн, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- обжалование в суде любых неправомерных действий или бездействия работодателя при обработке и защите его персональных данных.
5.3 Обработка ПДн в Учреждении с использованием средств автоматизации осуществляется в соответствии с требованиями Федерального закона Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных», нормативных и руководящих документов уполномоченных федеральных органов исполнительной власти.
5.4 Деятельность по обеспечению безопасности ПДн в Учреждении должна осуществляться постоянно. В целях обеспечения эффективности мероприятий по обеспечению безопасности ПДн в Учреждение должны осуществляться:
- организация эксплуатации ИС в соответствии с требованиями безопасности;
- планирование мероприятий по обеспечению безопасности ПДн в ИС;
- контроль выполнения и эффективности мероприятий по обеспечению безопасности ПДн в Учреждении;
- принятие мер по устранению выявленных нарушений требований по безопасности ПДн;
- разработка и реализация мер по совершенствованию мероприятий по обеспечению безопасности ПДн.
-
-
Контроль состояния обеспечения безопасности персональных данных в информационных системах персональных данных
6.1 Основными целями контроля состояния обеспечения безопасности ПДн являются:
- установление степени соответствия принятых мер по обеспечению безопасности ПДн требованиям законодательных и иных нормативных актов, норм, правил и инструкций по обеспечению безопасности ПДн;
- выявление потенциальных каналов утечки информации, несанкционированного доступа к информации и специальных воздействий на нее, выработка рекомендаций по их закрытию.
6.2 Основными задачами контроля являются:
- оценка эффективности проводимых мер по обеспечению безопасности ПДн;
- анализ причин выявленных нарушений и недостатков в организации и обеспечении безопасности ПДн на объектах Учреждения, выработка рекомендаций по их устранению;
- оценка и анализ возможностей злоумышленника по добыванию ПДн, выявление каналов утечки информации, каналов НСД к информации и специальных воздействий на нее, выработка рекомендаций по закрытию этих каналов.
6.3 Контроль заключается в проверке выполнения законодательства Российской Федерации по вопросам защиты ПДн, а также в оценке обоснованности и эффективности принятых мер защиты.
6.4 Контроль состояния обеспечения безопасности ПДн в Учреждении, а также выполнения требований настоящего Положения возлагается на руководителя Учреждения.
6.5 Эффективной формой контроля за выполнением требований Положения является проведение самооценки в форме внутренней проверки обеспечения безопасности ПДн в подразделении, проводимой в соответствии с Планом мероприятий по обеспечению безопасности ПДн по приказу руководителя Учреждения (типовая форма Плана проведения внутренней проверки обеспечения безопасности персональных данных приведена в Приложении 9).
6.6 К контролю состояния обеспечения безопасности ПДн в Учреждении могут привлекаться организации, имеющие оформленную в установленном порядке лицензию на осуществление деятельности по технической защите конфиденциальной информации, оказывающие на договорной основе услуги по контролю (аудиту) состояния обеспечения безопасности ПДн.
6.7 Непосредственный контроль за выполнением требований Положения при обработке ПДн осуществляет Ответственный за обеспечение безопасности ПДн и ответственные за обеспечение безопасности информации в Учреждении.
-
Ответственность за разглашение персональных данных
7.1 Персональная ответственность – одно из главных требований по организации и проведению работ по обеспечению безопасности ПДн при их обработке в Учреждении и обязательное условие обеспечения эффективности этих работ.
7.2 Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
7.3 Каждый сотрудник Учреждения, получающий для работы ПДн, несет личную ответственность за сохранность носителя и конфиденциальность информации.
7.4 Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
7.4.1 За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы с ПДн работодатель вправе применять предусмотренные Трудовым Кодексом дисциплинарные взыскания.
7.4.2 Разглашение ПДн субъекта (передача их посторонним лицам, в том числе, работникам, не имеющим к ним доступа), их публичное раскрытие, утрата документов и иных носителей, содержащих ПДн субъекта, а также иные нарушения обязанностей по их защите и обработке, установленных настоящим Положением, локальными нормативными актами (приказами, распоряжениями) Учреждения, влечет наложение на сотрудника, имеющего доступ к ПДн, дисциплинарного взыскания – замечания, выговора, увольнения.
7.4.3 Неправомерный отказ в предоставлении обрабатываемых в установленном порядке ПДн, либо несвоевременное предоставление таких данных в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях (Ст. 13.11).
7.4.4 Работники, имеющие доступ к ПДн субъектов, виновные в незаконном разглашении или использовании ПДн лиц без согласия субъектов из корыстной или иной личной заинтересованности и причинившие крупный ущерб, несут уголовную ответственность в соответствии со ст. 183 Уголовного кодекса РФ и материальную ответственность в случае причинения его действиями ущерба (п.7 ст. 243 Трудового кодекса РФ).
7.5 Уголовная ответственность за нарушение неприкосновенности частной жизни (в том числе незаконное собирание или распространение сведений о частной жизни лица, составляющего его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения наказывается штрафом или лишением права занимать определенные должности и заниматься определенной деятельностью, или привлечением к уголовной ответственности в соответствии с Уголовным кодексом РФ.
Приложение 1. Перечень документов, регламентирующих вопросы организации и проведения работ по обеспечению безопасности персональных данных
-
-
-
-
-
-
- Федеральный закон от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности»;
- Федеральный закон от 27 июля 2006г. № 152-ФЗ «О персональных данных»;
- Федеральный закон Российской Федерации от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Указ Президента Российской Федерации от 17.03.2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»;
- Требования к защите персональных данных при их обработке в информационных системах персональных данных, утверждены Постановлением Правительства Российской Федерации от 01.11.2012 № 1119;
- Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утверждены приказом ФСТЭК России от 11.02.2013 № 17;
- Состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утверждены приказом ФСТЭК России от 18.02.2013 № 21;
- Требования и методы по обезличиванию персональных данных" (вместе с "Требованиями и методами по обезличиванию персональных данных, обрабатываемых в информационных системах персональных данных, в том числе созданных и функционирующих в рамках реализации федеральных целевых программ"), утверждены приказом Роскомнадзора от 05.09.2013 №996;
- Информационное сообщение ФСТЭК России от 20 ноября 2012г. № 240/24/4669 «Об особенностях защиты персональных данных при их обработке в информационных системах персональных данных и сертификации средств защиты информации, предназначенных для защиты персональных данных»;
- «Специальные требования и рекомендации по технической защите конфиденциальной информации» («СТР-К»), утверждены приказом Гостехкомиссии России от 30.08.2002 №282.
-
-
-
-
-
-
-
Состав, категории и содержание ПДн
8.1 ПДн, обрабатываемые в Учреждении, относятся к сведениям ограниченного доступа, за исключением сведений, которые в установленных федеральными законами случаях могут быть опубликованы в средствах массовой информации.
8.2 В Учреждение обрабатываются ПДн следующих субъектов ПДн:
- сотрудники Учреждения;
- субъекты ПДн, не являющиеся сотрудниками Учреждения (лица, обратившиеся за медицинской помощью в медицинские организации области; лица, обратившиеся за высокотехнологичной медицинской помощью в Учреждение; лица, приславшие жалобы на качество оказания медицинской помощью в Учреждении).
8.3 ПДн работников обрабатываются в целях обеспечения кадровой и бухгалтерской работы.
8.4 В целях, указанных в пункте 2.3 настоящего Положения, обрабатываются следующие ПДн:
- фамилия, имя, отчество;
- год рождения; месяц рождения; дата рождения; место рождения;
- адрес;
- семейное положение;
- социальное положение;
- имущественное положение;
- образование;
- профессия;
- доходы.
8.5 Обработка ПДн субъектов ПДн, не являющихся сотрудниками Учреждения, осуществляется в целях предоставления дополнительного лекарственного обеспечения льготным категориям граждан; предоставление гражданам медицинской помощи в медицинских учреждения Липецкой области, направления граждан за пределы области для оказания им высокотехнологичной медицинской помощи; проведения профилактических осмотров и диспансерного наблюдения, повышения качества оказываемых медицинских услуг (НЕТ в Уведомлении).
8.6 В целях, указанных в пункте 2.5 настоящего Положения, обрабатываются следующие ПДн:
- фамилия, имя, отчество;
- год рождения; месяц рождения; дата рождения; место рождения;
- адрес;
- семейное положение;
- социальное положение;
- имущественное положение;
- состояние здоровья;
- паспортные данные;
- данные полиса ОМС.