1.       Введение

1.1.            Деятельность ГБУЗ РК «КРПЦ» (Далее – Учреждение), невозможна без использования, хранения и передачи персональных данных различных категорий субъектов, включая работников и пациентов Учреждения. Персональные данные, в том числе сведения, составляющие врачебную тайну, являются конфиденциальной информацией и подлежат защите в соответствии с законодательством Российской Федерации.

1.2.            Обеспечение безопасности персональных данных является одной из приоритетных задач Учреждения.

1.3.            Политика в отношении обработки персональных данных в Учреждении (Далее – Политика) определяет существующую и планируемую деятельность Учреждения касательно обработки и обеспечения безопасности персональных данных работников, пациентов Учреждения или иных лиц, чьи персональные данные обрабатываются Учреждением, с целью обеспечения защиты прав и свобод человека и гражданина при обработке персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также врачебную тайну и устанавливает ответственность должностных лиц Учреждения, имеющих доступ к персональным данным, за невыполнение требований, регулирующих обработку и защиту персональных данных.

1.4.            В соответствии с п.2 ст.18.1 ФЗ «О персональных данных»: доступ к настоящему документу не может быть ограничен.

2.       Обработка персональных данных

2.1.            Понятия и определения

Персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

2.2.            Субъекты персональных данных

Учреждение обрабатывает персональные данные следующих категорий субъектов персональных данных:

-                   Работника и их близких родственников работника;

-                   Пациента и его законного представителя (при наличии);

2.3.            Цели обработки персональных данных

2.3.1.      Обработка ПДн работников осуществляется исключительно в следующих целях:

-                   Обеспечения соблюдения норм и законодательства о государственной социальной помощи, трудового законодательства, законодательства Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;

-                   Содействия работникам в трудоустройстве, обучении и продвижении по службе, контроля количества и качества выполняемой работы; обеспечения личной безопасности работников, обеспечения сохранности имущества.

2.3.2.      Обработка ПДн пациентов (а так же их законных представителей) осуществляется исключительно в следующих целях:

-                   Создание условий для обеспечения гарантий прав граждан на оказание (в т.ч. бесплатное) медицинской помощи надлежащего качества и в соответствующем объеме, а так же профилактики заболеваний, сохранения и укрепления физического и психического здоровья каждого человека, поддержания его долголетней активной жизни, предоставления ему медицинской помощи;

-                   Создание условий для осуществления контроля за использованием средств обязательного медицинского страхования, а так же оборотом медицинских аппаратов;

-                   Определение потребности в объемах медицинской помощи;

-                   Предупреждение распространения опасных заболеваний, представляющих угрозу безопасности граждан РФ;

2.4.            Состав обрабатываемых персональных данных

-                   ПДн работников:

• первичные сведения (Ф. И. О., дата, год и место рождения и др.); 
• сведения о документе, удостоверяющем личность (серия, номер и др.);
• реквизиты (ИНН, СНИЛС, медицинский полис и др.);
• сведения о занимаемой должности (место работы, должность, трудовой договор и др.);
• сведения об образовании (наименование образовательного учреждения, сведения о документах, подтверждающих образование и др.);
• сведения о трудовой деятельности (трудовой стаж, места работы и др.);
• сведения о повышении квалификации (сведения о документах, подтверждающих квалификацию и др.);
• бухгалтерские сведения (тарифная ставка, надбавка, данные о начисленных суммах и др.);
• сведения о состоянии на воинском учете;
• сведения о составе семьи;
• иные сведения.

-                ПДн пациентов;

• первичные сведения (Ф. И. О., дата, год и место рождения и др.); 
• сведения о документе, удостоверяющем личность (серия, номер и др.);
• реквизиты (СНИЛС, медицинский полис и др.);
• сведения о месте работы (учебы);
• сведения о месте жительства;
• контактные номера телефонов;
• сведения о состоянии здоровья;
• Иные сведения;

Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются для установления личности субъекта персональных данных Учреждением не обрабатываются.

2.5.            Сроки обработки персональных данных

Сроки обработки персональных данных определяются в соответствие со сроком действия договора с субъектом персональных данных, Приказом Минкультуры РФ от 25.08.2010 № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», Постановлением ФКЦБ РФ от 16.07.2003 № 03-33/пс «Об утверждении Положения о порядке и сроках хранения документов акционерных обществ», сроком исковой давности, а также иными требованиями законодательства РФ и нормативными документами.

В Учреждении создаются и хранятся документы, содержащие сведения о субъектах персональных данных. Требования к использованию в Учреждении данных типовых форм документов установлены Постановлением Правительства РФ от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

2.6.            Принципы обработки персональных данных

Обработка персональных данных Учреждением осуществляется на основе следующих принципов:

-                 законности и справедливости целей и способов обработки персональных данных;

-                 соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Учреждения;

-                 соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

-                 достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

-                 и других принципов, определенных ст. 5 Федерального закона №152 «О персональных данных»

2.7.            Действия (операции) совершаемые с персональными данными

2.7.1.      Хранение персональных данных

Учреждение осуществляет хранение ПДн и их материальных носителей в порядке, исключающем их утрату, неправомерное использование или несанкционированный доступ к ним;

Учреждение хранит ПДн субъектов ПДн и их материальные носители не дольше, чем этого требуют цели их обработки и требования действующего законодательства Российской Федерации, и уничтожает их по истечению установленных сроков хранения.

Сроки хранения документов, содержащих ПДн субъектов ПДн, а также сроки хранения сведений, содержащих ПДн субъектов ПДн в электронном виде (электронные документы, записи баз данных) определяются Перечнем обрабатываемых ПДн в соответствии с приказом Министерства культуры РФ от 25 августа 2010 г. № 558 «Об утверждении «Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», приказом Минздрава СССР от 04.10.1980 г. №1030 «Об утверждении форм первичной медицинской документации учреждений здравоохранения» номенклатурой дел, сроком исковой давности, а также иными требованиями законодательства Российской Федерации.

2.7.2.      Передача персональных данных

В целях соблюдения законодательства Российской Федерации, для достижения целей обработки, а также в интересах субъектов ПДн, Учреждение в ходе своей деятельности предоставляет ПДн субъектов ПДн ряду организаций.

Передача ПДн на территорию иностранных государств, органам власти иностранных государств, иностранным физическим или юридическим лицам (трансграничная передача ПДн) Учреждением не осуществляется.

2.7.3.      Поручение обработки персональных данных третьим лицам

Учреждение вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора.

Учреждение самостоятельно осуществляет обработку ПДн субъектов ПДн и не поручает ее третьим лицам. 

3.       Права сторон

3.1.            Права Учреждения;

Учреждение, как оператор, вправе:

-    отстаивать свои интересы в суде;

-    предоставлять персональные данные субъектов третьим лицам, если это предусмотрено действующим законодательством (налоговые, правоохранительные органы и др.);

-    отказывать в предоставлении персональных данных в случаях предусмотренных законодательством;

-    использовать персональные данные субъекта без его согласия, в случаях предусмотренных законодательством.

3.2.            Права и обязанности субъектов персональных данных:

Субъект персональных данных имеет право:

-    требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

-    требовать перечень своих персональных данных, обрабатываемых Учреждением и источник их получения;

-    получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;

-    требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

-    обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;

-    на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

3.3.            Право субъекта ПДн на доступ к его ПДн может быть ограничено в соответствии с федеральными законами.

3.4.            Для реализации своих прав и защиты законных интересов, субъект ПДн имеет право обратиться к Учреждению. Учерждение рассматривает любые обращения и жалобы со стороны субъектов ПДн, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.

3.5.            Субъект ПДн вправе обжаловать действия или бездействие Учреждения в уполномоченный орган по защите прав субъектов ПДн (Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), Управление по защите прав субъектов ПДн) или в судебном порядке.

3.6.            Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

3.7.            Субъект ПДн имеет право в любое время отозвать свое согласие на обработку ПДн, обратившись в Учреждение. 

4.       Обеспечение безопасности персональных данных

4.1.            Учреждение предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.

4.2.            В целях координации действий по обеспечению безопасности персональных данных в Учреждении создана постоянно действующая комиссия по защите персональных данных.

4.3.            Учреждение гарантирует конфиденциальность ПДн и предоставляет доступ к ним только уполномоченным работникам, подписавшим обязательство о неразглашении ПДн.

4.4.            Учреждение гарантирует конфиденциальность ПДн и предоставляет доступ к ним только уполномоченным работникам, подписавшим обязательство о неразглашении ПДн.

4.5.            Все работники Учреждения, имеющие доступ к ПДн, соблюдают правила их обработки и выполняют требования по их защите.

4.6.            Обеспечение ПДн достигается в частности:

-                   назначением ответственных за организацию обработки и защиты ПДн;

-                   осуществлением внутреннего контроля и (или) аудита соответствия обработки ПДн ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, локальным актам;

-                   ознакомлением работников Учреждения, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе требованиями к защите ПДн, локальными актами в отношении обработки ПДн, и (или) обучением указанных работников.

-                   применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн;

-                   оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;

-                   учетом машинных носителей ПДн;

-                   обнаружением фактов несанкционированного доступа к ПДн и принятием мер;

-                   восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

-                   установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;

-                   контролем за принимаемыми мерами по обеспечению безопасности ПДн. 

5.       Заключительные положения

5.1.            Настоящая Политика является внутренним документом и подлежит размещению в общедоступном месте, в том числе на официальном сайте Учреждения в сети Интернет.

5.2.            Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года.

5.3.            Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных в Учреждении.

5.4.            Ответственность должностных лиц Учреждения, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами Учреждения.

6.     Контактная информация

6.1.            ФИО ответственного за организацию обработки персональных данных в Учреждении: Косырев Сергей Павлович

6.2.            Контактная информация:

Адрес: 167981, г. Сыктывкар, ул. Пушкина, д. 114/4.

Телефон: (8212) 21-16-26

Электронная почта: krpc@perinatal-komi.ru

6.3.            Все вопросы и предложения по внесению изменений или дополнений в настоящую Политику следует направлять на имя ответственного за организацию обработки ПДн по указанному выше контактному телефону, почтовому адресу или адресу электронной почты.