Пользовательское соглашение
Политика в отношении обработки персональных данных, сведения о реализуемых требованиях к защите персональных данных в краевом государственном бюджетном учреждении здравоохранения «Краевая клиническая психиатрическая больница» министерства здравоохранения Хабаровского края
1. Общие положения
1.1. Настоящая Политика оператора в отношении обработки персональных данных (далее - ПДн) (далее - Политика) разработана в целях выполнения норм федерального законодательства КГБУЗ «ККПБ» (далее - Оператор).
1.2. Политика характеризуется следующими признаками:
- Разработана в целях обеспечения реализации требований законодательства Российской Федерации в области обработки ПДн субъектов ПДн;
- Раскрывает основные категории ПДн, обрабатываемых Оператором, цели, способы и принципы обработки Оператором ПДн, права и обязанности Оператора при обработке ПДн, права субъектов ПДн, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности ПДн при их обработке;
- Является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке ПДн.
2. Информация об Операторе
Наименование: краевое государственное бюджетное учреждение здравоохранения «Краевая клиническая психиатрическая больница» министерства здравоохранения Хабаровского края.
ИНН: 2722009694.
Фактический адрес: 680038, Хабаровский край, г. Хабаровск, ул. Серышева, 33.
Тел.: .
3. Основные понятия
Для целей настоящей Политики используются следующие понятия:
3.1. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
3.2. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту ПДн).
3.3. Субъект - субъект ПДн.
3.4. Работник - физическое лицо, состоящее в трудовых отношениях с оператором.
3.5. Обработка ПДн - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
3.6. Распространение ПДн - действия, направленные на раскрытие ПДн неопределенному кругу лиц.
3.7. Автоматизированная обработка ПДн - обработка ПДн с помощью средств вычислительной техники.
3.8. Предоставление ПДн - действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.
3.9. Блокирование ПДн - временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).
3.10. Уничтожение ПДн - действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе персональных данных (далее - ИСПДн) и (или) в результате которых уничтожаются материальные носители ПДн.
3.11. Обезличивание ПДн - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.
3.12. Информационная система персональных данных - совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.
3.13. Трансграничная передача ПДн - передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
4. Правовые основания обработки ПДн
4.1. Политика Оператора в области обработки ПДн, а также основание для обработки ПДн определяются в соответствии со следующими нормативными правовыми актами Российской Федерации:
- Конституцией Российской Федерации.
- Трудовым кодексом Российской Федерации.
- Гражданским кодексом Российской Федерации.
- Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».
- Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
- Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
- Федеральным законом от 31.05.2001 № 73-ФЗ «О государственной судебно- медицинской деятельности в РФ».
5. Цели обработки ПДн
5.1. Оператор обрабатывает ПДн исключительно в следующих целях:
- Исполнения положений нормативных актов, указанных в п. 4.1.
- Принятия решения о трудоустройстве кандидата в штат работников Оператора.
6. Категории обрабатываемых ПДн, источники их получения, сроки обработки и хранения
6.1. В ИСПДн Оператора обрабатываются следующие категории ПДн:
- Сотрудников. (Административно-управленческий персонал, врачи, лаборанты, медрегистраторы).
Источники поступления: из первичной документации, предоставляемой самими субъектами персональных данных;
- Не сотрудников (Пациенты, лица, состоящие в договорных отношениях). Источники поступления: из первичной документации, предоставляемой самими субъектами персональных данных.
7. Основные принципы обработки, передачи и хранения ПДн
7.1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки ПДн, указанных в ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
7.2. Оператор не осуществляет обработку биометрических ПДн (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).
7.3. Оператор выполняет обработку иных категорий ПДн.
7.4. Оператор не производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу ПДн.
7.5. Оператором созданы общедоступные источники ПДн (справочники, адресные книги). ПДн, сообщаемые субъектом (фамилия, имя, отчество, адрес, сведения о профессии и др.), включаются в такие источники только с письменного согласия субъекта ПДн.
8. Сведения о третьих лицах, участвующих в обработке ПДн
8.1. В целях соблюдения законодательства Российской Федерации, для достижения целей обработки, а также в интересах и с согласия субъектов ПДн Оператор в ходе своей деятельности предоставляет ПДн следующим организациям:
- Федеральной налоговой службе;
- Кредитным организациям;
- пенсионному фонду Российской Федерации, включая его территориальные органы;
- страховым медицинским организациям, осуществляющим страхование;
- организациям (учреждениям), осуществляющим на законном основании обработку медико-статистической информации;
- органам управления здравоохранением Тюменской области (без автономных округов), муниципальных образований, расположенных на территории Тюменской области (без автономных округов).
8.2. Оператор не поручает обработку ПДн другим лицам.
9. Меры по обеспечению безопасности ПДн при их обработке
9.1. Оператор при обработке ПДн принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности ПДн достигается, в частности, следующими способами:
- Назначением ответственных за организацию обработки ПДн;
- Осуществлением внутреннего контроля и аудита соответствия обработки ПДн Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, локальным актам;
- Ознакомлением работников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе с требованиями к защите ПДн, локальными актами в отношении обработки ПДн, и обучением указанных сотрудников;
- Определением угроз безопасности ПДн при их обработке в ИСПДн;
- Применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн;
- Оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
- Учетом машинных носителей ПДн;
- Выявлением фактов несанкционированного доступа к ПДн и принятием соответствующих мер;
- Восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- Установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
- Контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности ИСПДн.
9.2. Обязанности должностных лиц, осуществляющих обработку и защиту ПДн, а также их ответственность, определяются приказами главного врача.
10. Обработка ПДн
10.1. Общие требования при обработке ПДн.
В целях обеспечения прав и свобод человека и гражданина при обработке ПДн соблюдаются следующие требования:
10.1.1. Обработка ПДн допускается в следующих случаях:
- обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
- обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
- обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
- обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
- обработка ПДн осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания ПДн за исключением целей, указанных в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных»;
- осуществляется обработка ПДн, доступ неограниченного круга лиц, к которым предоставлен субъектом ПДн либо по его просьбе (далее - ПДн, сделанные общедоступными субъектом ПДн);
- осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
10.1.2. Обработка ПДн должна осуществляться на законной и справедливой основе.
10.1.3. Обработка ПДн должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.
10.1.4. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.
10.1.5. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.
10.1.6. При обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных, или неточных данных.
10.1.7. Субъекты ПДн не должны отказываться от своих прав на сохранение и защиту ПДн.
10.1.8. Порядок рассмотрения запросов субъектов ПДн или их представителей осуществляется в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
10.2. Получение ПДн:
10.2.1. Сбор согласий субъектов персональных данных, на обработку их персональных данных производится в соответствии с приказом министерства здравоохранения Хабаровского края от 1301-р от 06.11.2012 «Об утверждении отдельных документов министерства здравоохранения края по обеспечению безопасности персональных данных».
10.2.2. Все ПДн следует получать непосредственно от субъекта ПДн. Субъект самостоятельно принимает решение о предоставление своих ПДн и дает письменное согласие на их обработку оператором. Типовая форма заявления-согласия субъекта на обработку ПДн представлена в приложении 1 к настоящей Политике.
10.2.3. Если предоставление ПДн является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту ПДн юридические последствия отказа предоставить его ПДн, согласно приложению 6 к настоящей Политике.
10.2.4. В случае недееспособности либо несовершеннолетия субъекта ПДн все ПДн субъекта следует получать от его законных представителей. Законный представитель самостоятельно принимает решение о предоставлении ПДн своего подопечного и дает письменное согласие на их обработку оператором. Типовая форма заявления-согласия на обработку ПДн подопечного представлена в приложении 2 к настоящей Политике.
10.2.5. Письменное согласие не требуется, если обработка ПДн осуществляется в случаях, указанных в пункте 10.1.1 настоящей Политике.
10.2.6. Согласие на обработку ПДн может быть отозвано субъектом ПДн. В случаях, указанных в пункте 10.2.3. настоящей Политики согласие может быть отозвано законным представителем субъекта ПДн. Типовая форма отзыва согласия на обработку ПДн представлена в приложении 3 к настоящей Политике.
10.2.7. В случаях, когда оператор может получить необходимые ПДн субъекта только у третьей стороны, субъект должен быть уведомлен об этом заранее. В уведомлении оператор обязан указать:
- наименование и адрес оператора;
- цель обработки ПДн и ее правовое основание;
- предполагаемые пользователи ПДн;
- права субъекта ПДн;
- источник получения ПДн.
Типовая форма уведомления субъекта о получении его ПДн от третьей стороны представлена в приложении 4 к настоящей Политике.
10.2.8. Запрещается получать и обрабатывать ПДн субъекта о его политических, религиозных и иных убеждениях и частной жизни.
10.2.9. Запрещается получать и обрабатывать ПДн субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.
10.2.10. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации оператор вправе получать и обрабатывать данные о частной жизни субъекта только с его письменного согласия.
10.3. Хранение ПДн:
10.3.1. Хранение ПДн субъектов осуществляется структурными подразделениями оператора в соответствии с перечнями ПДн и ИСПДн, утвержденными у Оператора.
10.3.2. Личные дела сотрудников хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела хранятся в специально отведенной секции сейфа (или металлических шкафах), обеспечивающего защиту от несанкционированного доступа.
10.3.3. Подразделения, хранящие ПДн на бумажных носителях, обеспечивают их защиту от несанкционированного доступа и копирования согласно постановлению Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
10.4. Передача пДн:
10.4.1. При передаче ПДн субъекта оператор обязан соблюдать следующие требования:
- не сообщать ПДн субъекта третьей стороне без письменного согласия субъекта или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, предусмотренных Трудовым Кодексом Российской Федерации или иными федеральными законами. Форма заявления- согласия субъекта на передачу его ПДн третьей стороне см. в приложении 5 настоящей Политики;
- предупредить лиц, получающих ПДн субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие ПДн субъекта, обязаны соблюдать требования конфиденциальности;
- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения им трудовой функции;
- передавать ПДн субъекта представителям субъектов в порядке, установленном Трудовым Кодексом Российской Федерации, и ограничивать эту информацию только теми ПДн субъекта, которые необходимы для выполнения указанными представителями их функций;
- все сведения о передаче ПДн субъекта регистрируются в Журнале учета передачи ПДн в целях контроля правомерности использования данной информации лицами, ее получившими. В журнале фиксируются сведения о лице, направившем запрос, дата передачи ПДн или дата уведомления об отказе в их предоставлении, а также отмечается, какая именно информация была передана.
10.4.2. Все меры конфиденциальности при сборе, обработке и хранении ПДн субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
10.4.3. Доступ работников к ПДн разрешен в соответствии со списками, утвержденными Оператором.
10.4.4. Все сотрудники, имеющие доступ к ПДн субъектов, обязаны подписать обязательство о неразглашении ПДн.
10.4.5. Передача ПДн осуществляется в организации, указанные в пункте 8 настоящей Политики.
10.5. Уничтожение ПДн:
10.5.1. ПДн субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
10.5.2. Документы, содержащие ПДн, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.
11. Права и обязанности субъектов ПДн и оператора
11.1. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
- подтверждение факта обработки ПДн оператором;
- правовые основания и цели обработки ПДн;
- цели и применяемые оператором способы обработки ПДн;
- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании федерального закона;
- обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки ПДн, в том числе сроки их хранения;
- порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные действующим законодательством Российской Федерации.
11.2. В целях обеспечения защиты ПДн субъекты имеют право:
- требовать от оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- требовать предоставления сведений, указанных в пункте 11.1, от оператора в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн;
- требовать предоставления сведений, указанных в пункте 11.1, от оператора при обращении либо при получении запроса субъекта ПДн или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн оператором, подпись субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации;
- требовать исключения или исправления неверных, или неполных ПДн, а также данных, обработанных с нарушением законодательства;
- при отказе оператора или уполномоченного им лица исключить или исправить ПДн субъекта - заявить в письменной форме о своем несогласии, представив соответствующее обоснование;
- дополнить ПДн оценочного характера заявлением, выражающим его собственную точку зрения;
- требовать от оператора или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные ПДн субъекта, обо всех произведенных в них изменениях или исключениях из них;
- обжаловать в суде любые неправомерные действия или бездействие оператора или уполномоченного им лица при обработке и защите ПДн субъекта.
11.3. Субъект ПДн или его законный представитель обязуется предоставлять ПДн, соответствующие действительности.
12. Ответственность за нарушение норм, регулирующих обработку и защиту ПДн
12.1. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, содержащему ПДн, несет персональную ответственность за данное разрешение.
12.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым Кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
13. Контактная информация
13.1. Ответственным за организацию обработки ПДн Оператором назначена Кривовезюк Софья Геннадьевна, техник технического отдела, тел.:
13.2. Уполномоченным органом по защите прав субъектов ПДн является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), Управление по защите прав субъектов ПДн.
Управление Роскомнадзора по дальневосточному федеральному округу:
Адрес: ул. Ленина, д. 4, г. Хабаровск, 680000. Тел.: . Факс: .
E-mail: rsockanc27@rkn.gov.ru.