Московская медицина
О станции Пациентам Сотрудникам Обучение Контакты eye
eye

103
Бесплатный телефон
112
Мне нужна скорая! Вызвал. Что делать дальше?
Хочу здесь работать
Режим работы - 24/7

Положение об обработке и обеспечению защиты персональных данных


ПОЛОЖЕНИЕ об обработке и обеспечению защиты персональных данных в государственном бюджетном учреждении города Москвы «Станция скорой и неотложной медицинской помощи им. А.С. Пучкова» Департамента здравоохранения города Москвы

  1. Общие положения

1.1. Положение об обработке и обеспечению защиты персональных данных (далее – Положение) является локальным правовым актом государственного бюджетного учреждения города Москвы «Станция скорой и неотложной медицинской помощи им. А.С. Пучкова» Департамента здравоохранения города Москвы (далее – Станция).

1.2. Целью реализации настоящего Положения является определение требований к порядку обработки и обеспечению безопасности персональных данных при их обработке с использованием средств автоматизации или без использования таких средств.

1.3. Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, , Гражданским кодексом Российской Федерации, Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Федеральным законом от 21 июля 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», указом Президента РФ от 6 марта 1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера», постановлением Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», постановлением Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»; Правилами внутреннего трудового распорядка Станции

1.4. Станция обрабатывает персональные данные следующих категорий субъектов:

1.4.1. соискателей и работников Станции, в целях соблюдения требований законодательства, содействия в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

1.4.2. физических лиц, трудовые отношения с которыми были прекращены, в целях соблюдения требований действующего законодательства;

1.4.3. посетителей, в целях выполнения мероприятий по обеспечению их пропуска на территорию Станции и ее структурные подразделения;

1.4.4. пациентов, в целях оказания скорой и неотложной медицинской помощи и ведения медицинской документации по утвержденным формам Министерства здравоохранения Российской Федерации;

1.4.5. лиц, совершающих вызов на Станцию для оказания скорой и неотложной медицинской помощи, медицинской эвакуации, а также для соединения с врачебно-консультативным пультом Станции;

1.4.6. физических лиц, обратившихся на Станцию.

1.5. Специальные категории персональных данных, касающиеся состояния здоровья (обрабатываются в соответствии с требованиями федеральных законов «О персональных данных» и «Об основах охраны здоровья граждан в Российской Федерации»);

1.6. Иные специальные категории персональных данных и биометрические персональные данные обрабатываются в соответствии с требованиями законодательства Российской Федерации.

1.7. Настоящее Положение распространяется на:

1.7.1. работников Станции, которые в силу должностных обязанностей имеют доступ к персональным данным, обрабатываемым на Станции;

1.7.2. лиц, работающих на Станции по гражданско-правовым договорам, предусматривающим передачу и предоставление доступа к персональным данным, обрабатываемым на Станции;

1.7.3. представителей внешних организаций, работающих со Станцией по договорам, предусматривающим передачу или предоставление доступа к персональным данным, обрабатываемым на Станции;

1.7.4. физическое лицо, которому оказывается медицинская помощь или которое обратилось за оказанием медицинской помощи независимо от наличия у него заболевания и его состояния.

1.8. Настоящее Положение вступает в силу с момента его утверждения Главным врачом Станции и действует бессрочно, до замены его новым Положением.

1.9. По предмету регулирования настоящее Положение охватывает все аспекты деятельности Станции, касающиеся обращения персональных данных, как на самой Станции, так и в ее структурных подразделениях.

1.10. Действие настоящего Положения не распространяется на отношения, возникающие при обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

  1. Основные понятия и состав персональных данных работников

2.1. В настоящем Положении используются следующие понятия:

2.1.1. работник - физическое лицо, вступившее в трудовые отношения со Станцией;

2.1.2. персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

2.1.3. субъект персональных данных - физическое лицо, определенное или определяемое на основании информации, к нему относящейся;

2.1.4. обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

2.1.5. автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

2.1.6. неавтоматизированная обработка персональных данных - обработка персональных данных, осуществляемая при непосредственном участии человека без использования средств вычислительной техники;

2.1.7. передача персональных данных - любое действие или совокупность действий, совершаемых с использованием средств автоматизации или без использования таких средств, представляющих собой доступ, распространение, предоставление персональных данных;

2.1.8. распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

2.1.9. блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

2.1.10. уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе и (или) в результате которых уничтожаются материальные носители;

2.1.11. конфиденциальность персональных данных - обязательное для соблюдения требование не раскрывать третьим лицам персональные данные и не допускать их распространение без согласия субъектов персональных данных или наличия иного законного основания;

2.1.12. безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных;

2.1.13. защита персональных данных - деятельность, включающая принятие правовых, организационных и технических мер, направленных на обеспечение защиты от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении персональных данных;

2.1.14. режим защиты персональных данных - нормативно установленные правила, определяющие ограничения доступа к персональным данным, порядок передачи и условия их хранения;

2.1.15. специальные категории персональных данных - персональные данные субъектов персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни и судимости;

2.1.16. биометрические персональные данные - сведения, характеризующие физиологические и биологические особенности субъекта персональных данных, которые используются оператором для установления личности субъекта персональных данных.

2.2. Информация, представляемая работником при поступлении на работу на Станцию, должна иметь документальную форму.

2.3. . На Станции создаются и хранятся следующие группы документов, содержащие данные о субъекте (работнике Станции) в единичном или сводном виде:

2.3.1. документы, содержащие персональные данные работников (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; комплекс материалов по анкетированию, тестированию; проведению собеседований с кандидатом на должность; подлинники и копии приказов по личному составу; личные дела и трудовые книжки работников; дела, содержащие основания к приказу по личному составу; дела, содержащие материалы аттестации работников; служебных расследований; справочно-информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству Станции, руководителям структурных подразделений; копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения).

2.3.2. документация работы структурных подразделений по планированию, учету, анализу и отчетности в части работы с персоналом Станции;

2.3.3. документация работы с персональными данными посетителей, формируемый охранным подразделением;

2.3.4. перечень персональных данных пациентов, формируемых в процессе ведения медицинской документации и оказание экстренной медицинской помощи.

  1. Сбор, обработка и защита персональных данных

3.1. Порядок получения персональных данных.

3.2. Все персональные данные субъекта (работника Станции) Станции следует получать у него самого. Если персональные данные субъекта (работника Станции) возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Должностное лицо работодателя должно сообщить работнику Станции о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта (работника Станции) дать письменное согласие на их получение.

3.3. Работодатель не имеет права получать и обрабатывать персональные данные субъекта (работника Станции) Станции о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни субъекта (работника Станции) только с его письменного согласия.

3.4. Обработка указанных персональных данных работников работодателем возможна только с их согласия либо без их согласия в следующих случаях:

3.4.1. персональные данные являются общедоступными;

3.4.2. персональные данные относятся к состоянию здоровья субъекта (работника Станции) и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта (работника Станции) невозможно;

3.4.3. по требованию полномочных государственных органов в случаях, предусмотренных федеральным законом.

3.5. Работодатель вправе обрабатывать персональные данные работников только с их письменного согласия.

3.6. Письменное согласие субъекта (работника Станции) на обработку своих персональных данных должно включать в себя:

3.6.1. фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

3.6.2. наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;

3.6.3. цель обработки персональных данных;

3.6.4. перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

3.6.5. перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;

3.6.6. срок, в течение которого действует согласие, а также порядок его отзыва.

3.7. Согласие субъекта (работника Станции) не требуется в следующих случаях:

3.7.1. обработка персональных данных осуществляется на основании Трудового кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия работодателя;

3.7.2. обработка персональных данных осуществляется в целях исполнения трудового договора;

3.7.3. обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

3.7.4. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта (работника Станции), если получение его согласия невозможно.

3.8. Работник Станции предоставляет работнику отдела кадров Станции достоверные сведения о себе. Работник отдела кадров Станции проверяет достоверность сведений, сверяя данные, предоставленные работником, с имеющимися у субъекта (работника Станции) документами.

3.9. В целях обеспечения прав и свобод человека и гражданина при обработке персональных данных субъекта (работника Станции) должны соблюдать следующие общие требования:

3.9.1. обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия субъекту (работнику Станции) в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;

3.9.2. при определении объема и содержания, обрабатываемых персональных данных Работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами;

3.9.3. при принятии решений, затрагивающих интересы субъекта (работника Станции), Работодатель не имеет права основываться на персональных данных субъекта (работника Станции), полученных исключительно в результате их автоматизированной обработки или электронного получения;

3.9.4. защита персональных данных субъекта (работника Станции) от неправомерного их использования или утраты обеспечивается Работодателем за счет его средств в порядке, установленном федеральным законом;

3.10. При использовании для неавтоматизированного сбора или уточнения персональных данных типовых форм документов соблюдаются следующие условия.

3.10.1. типовая форма (анкеты, заявления, заявки и другие шаблонные документы, подразумевающие включение персональных данных) или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, наименование и адрес Станции, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых Станцией способов обработки персональных данных;

3.10.2. типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных;

3.10.3. типовая форма должна быть составлена таким образом, чтобы каждый из субъектов, персональные данные которого содержатся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

3.10.4. типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы;

3.10.5. При ведении на Станции документации по допуску на территорию Станции посетителей, должны соблюдаться условия - персональные данные каждого субъекта персональных данных могут заноситься в такую документацию не более одного раза в каждом случае пропуска посетителя на территорию Станции.

3.11. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе. Если это не допускается техническими особенностями материального носителя, то уточнение производится путем фиксации на том же материальном носителе сведений о вносимых в персональные данные изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

3.12. Работники и их представители должны быть ознакомлены под расписку с документами Станции, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

  1. Передача и хранение персональных данных

4.1. При передаче персональных данных субъекта (работника Станции) должны соблюдаться следующие требования:

4.1.1. не сообщать персональные данные субъекта (работника Станции) третьей стороне без письменного согласия субъекта (работника Станции), за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта (работника Станции), а также в случаях, установленных федеральным законом;

4.1.2. не сообщать персональные данные субъекта (работника Станции) в коммерческих целях без его письменного согласия. Обработка персональных данных субъекта (работника Станции) в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия;

4.1.3. предупредить лиц, получивших персональные данные субъекта (работника Станции), о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные субъекта (работника Станции), обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен персональными данными субъекта (работника Станции) в порядке, установленном федеральными законами;

4.1.4. осуществлять передачу персональных данных субъекта (работника Станции) в пределах Станции в соответствии с настоящим Положением;

4.1.5. разрешать доступ к персональным данным субъекта (работника Станции) только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные субъекта (работника Станции), которые необходимы для выполнения конкретной функции;

4.1.6. запрашивать информацию о состоянии здоровья работника Станции в том случае, когда необходимо подтвердить возможность выполнения работником трудовой функции.

4.1.7. передавать персональные данные субъекта (работника Станции) представителям субъекта (работника Станции) в порядке, установленном Трудовым кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными субъекта (работника Станции), которые необходимы для выполнения указанными представителями их функции;

4.1.8. факты передачи персональных данных должны регистрироваться в журнале учета передачи персональных данных.

4.2. Персональные данные работников обрабатываются и хранятся в отделе кадров.

4.3. Персональные данные субъекта (работника Станции) обрабатываются как на бумажных носителях, так и в электронном виде по локальной компьютерной сети с применением специализированного программного обеспечения.

4.4. При получении персональных данных не от субъекта (работника Станции) (за исключением случаев, если персональные данные были предоставлены работодателю на основании федерального закона или если персональные данные являются общедоступными) работодатель до начала обработки таких персональных данных обязан предоставить субъекту (работнику Станции) следующую информацию:

4.4.1. наименование (фамилия, имя, отчество) и адрес оператора или его представителя;

4.4.2. цель обработки персональных данных и ее правовое основание;

4.4.3. предполагаемые пользователи персональных данных;

4.4.4. установленные настоящим Федеральным законом права субъекта персональных данных.

4.5. Персональные данные хранятся в форме, позволяющей идентифицировать субъекта персональных данных.

4.6. Материальные носители, содержащие персональные данные, хранятся в служебных помещениях в запираемых шкафах или сейфах. При этом соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

4.7. Срок хранения персональных данных определяется целями обработки персональных данных.

  1. Доступ к персональным данным субъектов.

5.1. Право доступа к персональным данным субъектов, обрабатываемых на Станции, без специального разрешения имеют:

5.1.1. Главный врач (или лицо его замещающее) – в общем порядке.

5.1.2. Заместитель главного врача – в общем порядке.

5.1.3. Начальник отдела кадров – в общем порядке.

5.1.4. Заместитель главного врача с возложением обязанностей по руководству региональным объединением, заведующие подстанциями, начальники структурных подразделений – в отношении персональных данных работников, числящихся в соответствующих структурных подразделениях – в целях уточнения и конкретизации ранее переданных персональных данных.

5.1.5. Сотрудники отдела кадров - в целях уточнения и конкретизации ранее переданных персональных данных.

5.1.6. Сотрудники бухгалтерии - в целях уточнения и конкретизации ранее переданных персональных данных.

5.2. Работники Станции имеют право получать доступ в информационную систему персональных данных (далее – ИСПДн) или к материальным носителям, содержащим только те персональные данные, которые необходимы им для выполнения возложенных на них трудовых обязанностей.

5.3. Запросы на получение персональных данных, содержащихся в ИСПДн, а также факты предоставления персональных данных по этим запросам, регистрируются программным обеспечением информационных систем в электронном журнале обращений. Содержание электронного журнала обращений проверяется с использованием системы мониторинга событий информационной безопасности.

5.4. Субъекты персональных данных имеют право на:

5.4.1. полную информацию о своих персональных данных, обрабатываемых Станцией;

5.4.2. доступ к своим персональным данным, включая право на получение копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральными законами;

5.4.3. уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

5.4.4. дополнение своих персональных данных оценочного характера заявлением, выражающим собственную точку зрения;

5.4.5. извещение всех лиц, которым ранее были сообщены их неверные или неполные персональные данные, обо всех произведенных в них исправлениях или дополнениях;

5.4.6. отзыв согласия на обработку своих персональных данных;

5.4.7. обжалование в соответствии с законодательством Российской Федерации неправомерных действий Станции при обработке персональных данных;

5.4.8. осуществление иных прав, предусмотренных законодательством Российской Федерации.

5.5. Субъекты персональных данных обязаны:

5.5.1. предоставить Станции свои персональные данные в соответствии с законодательством Российской Федерации и настоящим Положением;

5.5.2. своевременно информировать Станцию об изменениях своих персональных данных;

5.6. Копировать и делать выписки персональных данных работника разрешается исключительно в служебных целях с письменного разрешения начальника отдела кадров Станции.

5.7. Станция обязана принимать следующие необходимые и достаточные меры для выполнения обязанностей оператора, предусмотренных законодательством Российской Федерации:

5.7.1. назначать ответственное лицо за организацию обработки персональных данных;

5.7.2. издавать документы, определяющие политику Станции в отношении обработки персональных данных, нормативные документы по вопросам обработки персональных данных, а также нормативные документы, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации и устранение последствий таких нарушений;

5.7.3. применять правовые, организационные и технические меры для защиты персональных данных субъектов персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;

5.7.4. разъяснять субъектам персональных данных юридические последствия отказа предоставить их персональные данные, если предоставление персональных данных является обязательным в соответствии с законодательством Российской Федерации;

5.7.5. блокировать неправомерно обрабатываемые персональные данные, прекращать обработку персональных данных в соответствии с законодательством Российской Федерации;

5.7.6. уведомлять субъектов персональных данных об устранении допущенных нарушений при обработке их персональных данных;

5.7.7. представлять субъектам персональных данных по их просьбе или их представителям информацию, касающуюся обработки их персональных данных, в порядке, установленном законодательством Российской Федерации;

5.7.8. осуществлять внутренний контроль соответствия обработки персональных данных законодательству Российской Федерации о персональных данных, требованиям к защите персональных данных;

5.7.9. проводить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации о персональных данных, соотношения указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законодательством Российской Федерации в области обработки и защиты персональных данных.

  1. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

6.1. Лица, виновные в нарушении законодательства Российской Федерации и нормативных документов Станции в области обработки и защиты персональных данных, несут предусмотренную законодательством Российской Федерации ответственность.

6.2. Моральный вред, причиненный субъектам персональных данных вследствие нарушения их прав, правил обработки персональных данных, а также требований к защите персональных данных, установленных законодательством Российской Федерации и нормативными документами Станции в области обработки и защиты персональных данных, подлежит возмещению в соответствии с законодательством Российской Федерации.