Политика в отношении обработки персональных данных

ПОЛИТИКА
Государственного бюджетного учреждения здравоохранения города Москвы «Детская городская поликлиника №86Департамента здравоохранения города Москвы» в отношении обработки персональных данных

1 ОБЩИЕ ПОЛОЖЕНИЯ

1.1 Настоящая Политика в отношении обработки персональных данных (далее – Политика) в Государственном бюджетном учреждении здравоохранения города Москвы «Детской городской поликлиники №86 Департамента здравоохранения города Москвы» (далее – ГБУЗ «ДГП №86 ДЗМ») разработана в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», постановлением Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».

1.2 Политика определяет для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных.

1.3 Политика вступает в силу с момента ее утверждения ГБУЗ «ДГП №86 ДЗМ».

1.4 Политика подлежит пересмотру в ходе периодического анализа со стороны руководства ГБУЗ «ДГП №86 ДЗМ», а также в случаях изменения законодательства Российской Федерации в области персональных данных.

1.5 Политика подлежит опубликованию на официальном сайте ГБУЗ «ДГП №86 ДЗМ» https://dgp86.ru/ в течение 10 дней после её утверждения.

1.6 Политика разработана с целью обеспечения защиты прав и свобод субъектов персональных данных при обработке их персональных данных ГБУЗ «ДГП №86 ДЗМ».

1.7 Для выполнения целей Политики п. 1.6 используются следующие понятия:

персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

персональные данные, разрешенные субъектом персональных данных для распространения, – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом «О персональных данных»;

субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных;

оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных;

автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;

распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

конфиденциальность информации – обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;

трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных;

уровень защищенности персональных данных – комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных.

1.8 Положения Политики распространяются на все отношения, связанные с обработкой персональных данных, осуществляемой ГБУЗ «ДГП №86 ДЗМ»:

• с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным;
• без использования автоматизации.

1.9 Основные права ГБУЗ «ДГП №86 ДЗМ»:

• получать от субъекта персональных данных достоверную информацию и/или документы, содержащие персональные данные;
• требовать от субъекта персональных данных своевременного уточнения предоставленных персональных данных.

1.10 Основные обязанности ГБУЗ «ДГП №86 ДЗМ»:

• при сборе персональных данных ГБУЗ «ДГП №86 ДЗМ» обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную п. 7 ст. 14 Федерального закона от 27.07.2006 №152-ФЗ "О персональных данных";
• если в соответствии с федеральным законом предоставление персональных данных и (или) получение ГБУЗ «ДГП №86 ДЗМ» согласия на обработку персональных данных являются обязательными, оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить его персональные данные и (или) дать согласия на их обработку;
• оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

1.11 Субъект персональных данных (пациент) имеет право:

• получить информацию, касающуюся обработки его персональных данных B соответствии с п. 7 ст. 14 Федерального закона от 27.07.2006 №152-ФЗ "О персональных данных”;
• обжаловать в суде любые неправомерные действия или бездействия ГБУЗ «ДГП №86 ДЗМ» при обработке и защите его персональных данных;
• иные права субъекта, указанные в ст. 14 Федерального закона от 27.07.2006 №152-ФЗ "О персональных данных".

1.12 Работники ГБУЗ «ДГП №86 ДЗМ» обязаны:

• в случаях, предусмотренных законом или договором, передавать ГБУЗ «ДГП №86 ДЗМ» достоверные документы, содержащие персональные данные;
• не предоставлять неверные персональные данные, а в случае изменений персональных данных, обнаружения ошибок или неточностей, незамедлительно сообщить ГБУЗ «ДГП №86 ДЗМ».

1.13 Настоящей Политикой должны руководствоваться все сотрудники
ГБУЗ «ДГП №86 ДЗМ», осуществляющие обработку персональных данных или имеющие к ним доступ.

2 ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1 Обработка персональных данных в ГБУЗ «ДГП №86 ДЗМ» осуществляется с целью:

• исполнения требований законодательства Российской Федерации, соблюдения законов и иных нормативно-правовых актов;
• защиты законных прав и интересов граждан при оказании медицинской помощи и медицинских услуг, проведении медицинских осмотров и установления медицинского диагноза;
• исполнения договорных обязательств перед учреждениями и организациями, заключившими договора на оказание медицинских услуг своим сотрудникам;
• осуществления и выполнения, возложенных законодательством Российской Федерации, на оператора функций, полномочий и обязанностей по выполнение трудового законодательства, осуществления бухгалтерской и кадровой деятельности;
• в иных законных целях.

2.2 Обработка персональных данных в ГБУЗ «ДГП №86 ДЗМ» осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом от 27.07.2006 №152-ФЗ “О персональных данных”, а именно:

• обработка персональных данных осуществляется исключительно на законных основаниях;
• обработка персональных данных осуществляется исключительно для достижения конкретных, заранее определенных и законных целей (обработка персональных данных, не оправданная достижением таких целей, не осуществляется ГБУЗ «ДГП №86 ДЗМ»);
• базы данных, содержащие персональные данные, цели обработки которых не совместимы, не объединяются;
• содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки;
• обеспечение конфиденциальности обрабатываемых персональных данных;
• обеспечение надлежащей защиты персональных данных;
• при обработке персональных данных сотрудниками ГБУЗ «ДГП №86 ДЗМ» обеспечивается их точность, достаточность и в необходимых случаях – актуальность по отношению к целям их обработки;
• хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требует цели обработки персональных данных;
• персональные данные уничтожаются или обезличиваются при достижении целей их обработки или утрате необходимости в достижении этих целей или окончании срока хранения персональных данных, если иное не предусмотрено федеральным законом.

3 ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1 ГБУЗ «ДГП №86 ДЗМ» осуществляет обработку персональных данных в соответствии с требованиями следующих документов:

• конституции Российской Федерации, принятой всенародным голосованием 12 декабря 1993 года;
• гражданского кодекса Российской Федерации от 30 ноября 1994 года №51-ФЗ;
• налогового кодекса Российской Федерации от 05 августа 2000 года №117-ФЗ;
• трудового кодекса Российской Федерации от 30 декабря 2001 года №197-ФЗ;
• федерального закона от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных»;
• федерального закона от 21 ноября 2011 года №323-ФЗ «Об основных охраны здоровья граждан в Российской Федерации»;
• федерального закона от 29 ноября 2010 года №326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
• федерального закона от 24 июля 2009 года №212-ФЗ «О страховых взносах в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования и территориальные фонды обязательного медицинского страхования»;
• федерального закона от 27 июля 2010 года №210-ФЗ «Об организации предоставления государственных и муниципальных услуг»;
• федерального закона от 02 мая 2006 года №59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
• указа Президента Российской Федерации от 06 марта 1997 года №188 «Об утверждении Перечня сведений конфиденциального характера»;
• постановления Правительства Российской Федерации от 15 июля 2008 года №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• постановления Правительства Российской Федерации от 01 ноября 2012 года №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• приказа Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 05 сентября 2013 года №996 «Об утверждении требований и методов по обезличиванию персональных данных»;
• приказа Федеральной службы по техническому и экспортному контролю от 11 февраля 2013 года №17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
• приказа Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 года №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• устава ГБУЗ «ДГП №86 ДЗМ».

4 ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1 Объем персональных данных, обрабатываемых в ГБУЗ «ДГП №86 ДЗМ», определяется в соответствии с законодательством Российской Федерации и локально-нормативными актами ГБУЗ «ДГП №86 ДЗМ» с учетом целей обработки персональных данных, указанных в разделе 2 Политики.

4.2 К обработке персональных данных допускаются сотрудники ГБУЗ «ДГП №86 ДЗМ», доступ которых к персональным данным необходим для исполнения ими служебных (трудовых) обязанностей. Указанные работники имеют право получать в определенном объеме персональные данные, которые необходимы для выполнения служебных (трудовых) обязанностей.

4.3 ГБУЗ «ДГП №86 ДЗМ» осуществляет обработку персональных данных следующих субъектов:

• пациента – гражданина Российской Федерации, проходящего медицинские осмотры, обследования, лечение;
• законного представителя (опекуна) – гражданина Российской Федерации, являющегося законным представителем (опекуном) пациента в ГБУЗ «ДГП №86 ДЗМ»;
• сотрудника учреждения здравоохранения – гражданина Российской Федерации, состоящего в трудовых отношениях с ГБУЗ «ДГП №86 ДЗМ».

4.4 ГБУЗ «ДГП №86 ДЗМ» осуществляет обработку следующих категорий персональных данных:

• специальная категория персональных данных – состояние здоровья субъектов персональных данных, не являющихся сотрудниками ГБУЗ «ДГП №86 ДЗМ» - пациенты;
• иная категория персональных данных – сотрудники ГБУЗ «ДГП №86 ДЗМ».

4.5 Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных и философских убеждений, интимной жизни, в ГБУЗ «ДГП №86 ДЗМ» не осуществляется.

4.6 Объем обрабатываемых персональных данных сотрудника ГБУЗ «ДГП №86 ДЗМ»:

4.6.1 При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:

• паспорт или иной документ, удостоверяющий личность;
• трудовую книжку и (или) сведения о трудовой деятельности, за исключением случаев, если трудовой договор заключается впервые;
• документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
• документы воинского учета – для военнообязанных и лиц, подлежащих воинскому учету;
• данные документов об образовании, степенях, званиях, наградах, льготах и др.;
• справку, выданную органами МВД России, о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям;
• справку, выданную органами МВД России, о том, является или не является лицо подвергнутым административному наказанию за потребление наркотических средств или психотропных веществ без назначения врача либо новых потенциально опасных психоактивных веществ.

В определенных законодательном случаях может предусматриваться необходимость предъявления при заключении трудового договора дополнительных документов.

4.6.2 При оформлении работника в ГБУЗ «ДГП №86 ДЗМ» сотрудником отдела кадров заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:

• общие сведения (фамилия, имя, отчество, пол, дата и место рождения, гражданство, специальность, квалификация);
• паспортные данные;
• сведения о воинском учете;
• данные о приеме на работу.

В дальнейшем в личную карточку сотрудника вносятся:

• сведения о местах работы, профессии, должности, стаже работы;
• сведения о переводах на другую работу;
• сведения об аттестации;
• сведения о повышении аттестации;
• сведения о профессиональной подготовке;
• сведения о наградах (поощрениях), почетных званиях;
• сведения об отпусках;
• сведения о социальных гарантиях;
• сведения о месте жительства и контактных телефонах.

4.7 Объем обрабатываемых персональных данных пациента ГБУЗ «ДГП №86 ДЗМ».

При прохождении медицинского осмотра, лечения или обследования в ГБУЗ «ДГП №86 ДЗМ» обрабатываются следующие персональные данные пациента:

• фамилия, имя, отчество, пол, дата рождения, адрес места регистрации и жительства (указывается в случае адреса отличного от адреса регистрации) пациента;
• фамилия, имя, отчество законного представителя;
• паспортные данные законного представителя;
• полис обязательного медицинского страхования пациента;
• данные свидетельства о рождении (паспорта) пациента;
• номер страхового свидетельства государственного пенсионного страхования (СНИЛС) пациента;
• данные о состоянии здоровья;
• иные персональные данные, необходимые для проведения медицинского осмотра, обследования, лечения.

5 ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1 Обработка персональных данных субъектов осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Российской Федерации в области персональных данных.

5.2 Обработка персональных данных ГБУЗ «ДГП №86 ДЗМ» осуществляет с помощью средств вычислительной техники (автоматизированная обработка) либо при непосредственном участии человека без использования средств вычислительной техники (неавтоматизированная обработка).

5.3 Сроки обработки персональных данных субъектов, указанных в п. 4.3. настоящей Политики:

5.3.1 Персональные данные пациентов в соответствии с Письмом Минздрава России от 07.12.2015 № 13-2/1538 “О сроках хранения медицинской документации” обрабатываются ГБУЗ «ДГП №86 ДЗМ» в течение 25 лет.

5.3.2 Персональные данные сотрудников ГБУЗ «ДГП №86 ДЗМ» обрабатываются в течение срока действия трудового договора и 5-ти лет с момента прекращения их обработки.

5.4 ГБУЗ «ДГП №86 ДЗМ» осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление и уничтожение персональных данных.

5.5 Трансграничная передача персональных данных ГБУЗ «ДГП №86 ДЗМ» не осуществляется.

5.6 В целях обеспечения безопасности персональных данных, выполнения обязанностей, предусмотренных Федеральным законом от 27 июля 2006 года №152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативно правовыми актами, ГБУЗ «ДГП №86 ДЗМ»:

• назначает ответственного за организацию обработки персональных данных;
• утверждает настоящую Политику, а также внутренние нормативные и распорядительные документы в отношении обработки персональных данных, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
• применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных;
• осуществляет внутренний контроль соответствия обработки персональных данных требованиям Федерального закона от 27 июля 2006 года №152-ФЗ «О персональных данных», принятых в соответствии с ним нормативных правовых актов, внутренних нормативных и распорядительных документов;
• проводит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушений требования законодательства в области персональных данных;
• ознакомляет своих сотрудников, непосредственно осуществляющих обработку персональных данных, с положением законодательства Российской Федерации в области персональных данных, в том числе с требованиями к защите персональных данных, внутренними нормативными и распорядительными документами, регулирующие обработку персональных данных;
• устанавливает правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• определяет угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
• выявляет факты несанкционированного доступа к персональным данным и принимает соответствующие меры.

6 АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

6.1 В случае предоставления субъектом персональных данных факта неточности персональных данных или неправомерности их обработки, ГБУЗ «ДГП №86 ДЗМ» актуализирует персональные данные, а их обработка прекращается, в соответствии с
ст. 21 Федерального закона от 27.07.2006 №152-ФЗ “О персональных данных”.

Посмотреть Скачать