Положение о персональных данных

ПОЛИТИКА

В вопросах обработки, хранения и защиты персональных данных сотрудников и пациентов поликлиники

Общие положения

Настоящее Положение разработано в соответствии с нормами действующего законодательства и регламентирует порядок обработки, хранения и защиты персональных данных сотрудников Общества с ограниченной ответственностью «Поликлиника «Общая (групповая) врачебная практика» (далее Общество), граждан (пациентов), заключивших с Обществом гражданско-правовые договоры на оказание медицинских услуг по программе ОМС, платных медицинских услуг, а также граждан, посещающих Общество без оформления гражданско-правовых договоров (разовые посещения).

  1. Положение устанавливает единую систему защиты персональных данных в процессе их обработки и хранения в подразделениях Общества, которая представляет собой совокупность сил и средств, а также мер правового, организационного, экономического, социального и научно-технического характера, направленных на обеспечение защиты прав и свобод сотрудников и пациентов Общества при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
  2. Действие настоящего Положения распространяется на все структурные подразделения Общества, которые в своей работе наряду с настоящим Положением обязаны руководствоваться Конституцией РФ, Трудовым кодексом РФ,  Гражданским кодексом РФ, Федеральным законом от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных Постановлением Правительства РФ от 01.11.2012г. №1119, Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства РФ от 15.09.2008г. №687, иными нормативно-правовыми актами РФ, Кемеровской области, локальными нормативно-правовыми актами Общества, регламентирующими порядок обработки, хранения и защиты персональных данных.
  3. Правовое обеспечение процесса обработки, хранения и защиты персональных данных включает необходимость соблюдения следующих принципов:
  4. обработка персональных данных должна осуществляться на законной и справедливой основе;
  5. обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
  6. не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  7. обработке подлежат только персональные данные, которые отвечают целям их обработки;
  8. содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
  9. при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Общество должно принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
  10. Для целей настоящего положения используются следующие основные понятия:
  1. Субъекты, категории и состав персональных данных
  1. Обществом осуществляется обработка персональных данных следующих категорий субъектов персональных данных:
  2. сотрудники Общества - физические лица, вступившие в трудовые отношения с Обществом на основании трудового договора (контракта);
  3. пациенты Общества - физические лица, заключившие или в отношении которых третьим лицом заключен договор на оказание медицинских услуг по программе ОМС или (и) платных медицинских услуг;
  4. посетители - физические лица, посещающие Общество без заключения договор на платные медицинские услуги (как правило, однократные посещения).
  5. Категории обрабатываемых персональных данных подразделяются на три группы, в том числе:
  6. 1 группа - специальные категории персональных данных, к которым относится информация о национальной и расовой принадлежности субъекта, о религиозных, философских, либо политических убеждениях, информация о здоровье и интимной жизни субъекта;
  7. 2 группа - биометрические персональные данные, характеризующие биологические или физиологические особенности субъекта, например, фотография или отпечатки пальцев;
  8. 3 группа - общедоступные персональные данные, сведения о субъекте, полный и неограниченный доступ к которым предоставлен самим субъектом.
  9. Конкретный перечень обрабатываемых персональных данных, как правило, имеет смешанный характер, определяется и утверждается главным врачом Общества в зависимости от категории субъекта персональных данных и характера взаимоотношений между Обществом и субъектом персональных данных.
  10. Составление, а также обработка, хранение и защита персональных данных каждого субъекта персональных данных осуществляется персоналом Общества в соответствии с требованиями, предусмотренными настоящим Положением, иными локальными актами Общества, а также законодательными и нормативно-правовыми актами РФ и Кемеровской области.
  11. Основные условия и порядок обработки персональных данных

Обработка персональных данных осуществляется Обществом с соблюдением принципов, предусмотренных пунктом 1.4 настоящего Положения и допускается в следующих случаях: 

  1. обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
  2. обработка персональных данных необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Общество функций, полномочий и обязанностей;
  3. обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
  4. обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных;
  5. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
  6. обработка персональных данных необходима для осуществления прав и законных интересов Общества или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  7. обработка персональных данных осуществляется в статистических целях, при условии обязательного обезличивания персональных данных;
  8. осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);
  9. осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
  1. Получение персональных данных осуществляется Обществом лично у каждого субъекта персональных данных, либо у его представителя, имеющего соответствующие полномочия.
  2. Согласие на обработку персональных данных. Субъект персональных данных принимает решение о предоставлении его персональных данных и даёт согласие на их обработку свободно, своей волей и в своем интересе (Приложения №1, №2). Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Обществом.
  3. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью. Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
    1. фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
    2. фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
    3. наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
    4. цель обработки персональных данных;
    5. перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
    6. наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
    7. перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
    8. срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва;
    9. подпись субъекта персональных данных.
  4. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.
  5. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
  6. Персональные данные могут быть получены от лица, не являющегося субъектом персональных данных, при условии предоставления Обществу подтверждения наличия оснований, указанных в подпунктах 2-9 пункта 3.1, подпунктах 1-8 пункта 3.14 настоящего Положения.
  7. Общество вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных в письменной форме (Приложения №1, №2) на основании заключаемого с этим лицом договора. В договоре с Обществом должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, цели обработки, установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных.
  8. Лицо, осуществляющее обработку персональных данных по договору с Обществом, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
  9. В случае, если Общество поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Общество. Лицо, осуществляющее обработку персональных данных по поручению Общества, несет ответственность перед Обществом.
  10. Общество и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
  11. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных (Приложения №3, №4). В случае отзыва субъектом персональных данных согласия на обработку персональных данных Общество вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в подпунктах 2-9 пункта 3.1, подпунктах 2-8 пункта 3.14 настоящего Положения.
  12. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство наличия оснований, указанных в подпунктах 2-9 пункта 3.1, подпунктах 2-8 пункта 3.14 настоящего Положения, возлагается на Общество.
  13. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением следующих случаев:
  1. субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
  2. персональные данные сделаны общедоступными субъектом персональных данных;
  3. обработка персональных данных осуществляется в соответствии с законодательством в сфере здравоохранения, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
  4. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
  5. обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
  6. обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц;
  7. обработка персональных данных осуществляется в соответствии с законодательством об исполнительном производстве Российской Федерации;
  8. обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.
  1. Обработка специальных категорий персональных данных, осуществлявшаяся в случаях, предусмотренных пунктом 3.14 настоящего Положения, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.
  2. Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются Обществом для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных за исключением случаев, прямо указанных в законе (исполнение судебных актов).
  3. Перечень мер, необходимых и достаточных для обеспечения надлежащей и безопасной обработки персональных данных предусматривает, в том числе:
  1. Особенности обработки, хранения и защиты персональных данных без использования средств автоматизации
  1. Обработка персональных данных, содержащихся в информационной системе либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации, если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются человеком в «ручном» режиме, т.е. без использования средств вычислительной техники.
  2. Персональные данные при их обработке без использования средств автоматизации должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
  3. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы.
  4. Сотрудники Общества, осуществляющие обработку персональных данных без использования средств автоматизации, должны быть проинформированы о факте обработки ими персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки.
  5. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:
  1. типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, наименование и адрес Общества (оператора), фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
  2. типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;
  3. типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
  4. типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
  1. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:
  1. при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;
  2. при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.
  1. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
  2. Правила, предусмотренные пунктами 4.6 и 4.7 настоящего Положения, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
  3. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
  4. В целях обеспечения защиты персональных данных приказом главного врача Общества в отношении каждой категории персональных данных определяются места хранения материальных носителей с персональными данными, а также устанавливается перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
  5. Хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях, осуществляется раздельно.
  1. Особенности автоматизированной обработки, хранения и защиты персональных данных в информационной системе персональных данных
  1. Автоматизированная обработка персональных данных в Обществе осуществляется в информационной системе Общества с использованием средств вычислительной техники и информационных технологий на автоматизированных рабочих местах, входящих в состав информационной системы персональных данных. При этом автоматизированная обработка персональных данных может осуществляться как при участии человека, так и без его участия (автоматическая обработка персональных данных).
  2. Для целей автоматизированной обработки персональных данных используются программные средства, на которые имеются соответствующие сертификаты качества, а также лицензии на право их использования.
  3. Автоматизированная обработка персональных данных в автоматическом режиме осуществляется с использованием следующих информационных подсистем (технологий):
  • «1С Бухгалтерия» (содержит персональные данные сотрудников Общества);
  1. Допуск сотрудников Общества к автоматизированной обработке персональных данных, к информационным подсистемам (технологиям), а также доступ сотрудников Общества к персональным данным осуществляется в зависимости от функций сотрудников, предусмотренных их должностными и профессиональными инструкциями и оформляется приказом главного врача Общества. У сотрудников, допущенных к обработке персональных данных, а также у сотрудников, имеющих доступ к персональным данным, отбирается подписка о неразглашении конфиденциальной информации, к которой в том числе относятся персональные данные субъектов персональных данных (Приложения №5).
  2. Сотрудникам Общества, имеющим право осуществлять обработку персональных данных в информационной системе Общества, предоставляется уникальный логин (идентификатор) и пароль (аутентификатор) для доступа к соответствующему объёму информации в информационной системе персональных данных.
  3. Определение уровней защищённости персональных данных, указанных в пункте 5.2 настоящего Положения производится Комиссией по защите персональных данных в порядке, установленном действующим законодательством. Персональный состав Комиссии и порядок её работы утверждаются приказом главного врача Общества.
  4. Обеспечение безопасности персональных данных, обрабатываемых в информационной системе персональных данных Общества, достигается путём исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:
  1. определение угроз безопасности персональных данных при их обработке в информационной системе персональных данных Общества;
  2. применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационной системе персональных данных Общества, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;
  3. применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
  4. оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных либо до момента её преобразования (усовершенствования);
  5. учет машинных носителей персональных данных;
  6. обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;
  7. восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;
  8. установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных Общества, а также обеспечение регистрации и учёта всех действий, совершаемых с персональными данными в информационной системе персональных данных Общества;
  9. контроль принимаемых мер по обеспечению безопасности персональных данных и уровней защищенности информационной системы персональных данных.
  1. Должностное лицо Общества, ответственное за организацию обработки и обеспечение безопасности персональных данных при их обработке в информационной системе персональных данных Общества, должно обеспечить:
  1. своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное принятие мер к устранению выявленных недостатков;

Cроки обработки и хранения, порядок уничтожения персональных данных

  1. Обработка и хранение персональных данных должны осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
  2. С учетом положений законодательства РФ в Обществе устанавливаются следующие сроки обработки и хранения персональных данных:
  1. персональные данные, содержащиеся в приказах по личному составу сотрудников Общества (о приёме, о переводе, об увольнении, об установлении надбавок) подлежат хранению в Обществе в течение 75 лет;
  2. персональные данные, содержащиеся в личных делах сотрудников Общества подлежат хранению в Обществе в течение 75 лет;
  3. персональные данные сотрудников Общества, содержащиеся в приказах о предоставлении отпусков, о командировках, о дисциплинарных взысканиях, подлежат хранению в Обществе в течение 5 лет;
  4. персональные данные, содержащиеся в личных делах пациентов Общества, подлежат хранению в Обществе в течение 5 лет;
  5. персональные данные посетителей Общества (однократные посещения) подлежат хранению в Обществе в течение 3-х лет.
  1. Сроки хранения иных персональных данных сотрудников Общества определяется номенклатурой дел, утверждаемой приказом главного врача Общества.
  2. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
  1. Права субъектов персональных данных
  1. Субъект персональных данных имеет право на получение сведений, касающихся обработки его персональных данных, в том числе содержащих:
  • подтверждение факта обработки персональных данных Обществом;
  • правовые основания и цели обработки персональных данных;
  • применяемые Обществом способы обработки персональных данных;
  • наименование и место нахождения Общества, сведения о лицах (за исключением сотрудников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Обществом или на основании федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Общества, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные федеральными законами.
  1. Субъект персональных данных вправе требовать от Общества уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
  2. Сведения, указанные в пункте 7.1 настоящего Положения, должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
  3. Сведения, указанные в пункте 7.1 настоящего Положения, предоставляются субъекту персональных данных или его представителю Обществом при обращении либо при получении запроса субъекта персональных данных или его представителя (Приложения №6, №7).