gb47_nn@mail.52gov.ru
Для обращения граждан: bolnitsa47@yandex.ru
Вконтакте
ПОЛОЖЕНИЕ
ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
РАБОТНИКОВ И ПАЦИЕНТОВ
Государственного бюджетного учреждения здравоохранения Нижегородской области
«Городская больница №47 Ленинского района г. Нижнего Новгорода»
1.1. Настоящее Положение определяет порядок обработки (получения, использования, хранения, уточнения (обновления, изменения), распространения (в том числе передачи), обезличивания, блокирования, уничтожения, защиты) персональных данных работников и пациентов Государственного бюджетного учреждения здравоохранения Нижегородской области «Городская больница №47 Ленинского района г.Нижнего Новгорода» (далее — Учреждение), а также гарантии обеспечения конфиденциальности сведений о них.
1.2. Настоящее Положение разработано на основании: Конституции Российской Федерации, Гражданского кодекса Российской Федерации, Трудового кодекса Российской Федерации, Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; Федерального закона РФ от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральный закон Российской Федерации от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»; Указа Президента РФ от 06 марта 1997 г. № 188 (ред. от 23 сентября 2005 г.) «Об утверждении перечня сведений конфиденциального характера»; Постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и других действующих нормативных правовых актов Российской Федерации.
1.3. Цель настоящего Положения - защита персональных данных работников и пациентов Учреждения от несанкционированного доступа и разглашения. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией.
1.4. Требования настоящего Положения распространяются на всех работников и пациентов Учреждения.
В настоящем Положении используются следующие понятия и термины:
работник — физическое лицо, вступившее в трудовые отношения с работодателем ГБУЗ НО «Городская больница №47 Ленинского района г. Н.Новгорода»;
работодатель – ГБУЗ НО «Городская больница №47 Ленинского района г.Н.Новгорода»
пациенты - лица, обратившиеся за медицинской помощью, находящиеся под медицинским наблюдением, лица – получатели платных медицинских услуг, состоящие в договорных отношениях с ГБУЗ НО «Городская больница №47 Ленинского района г.Н.Новгорода»
субъекты персональных данных — работники и пациенты ГБУЗ НО «Городская больница №47 Ленинского района г.Н.Новгорода»
персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.
блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;
трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;
общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
информация — сведения (сообщения, данные) независимо от формы их представления;
3.1. Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных - определенному или определяемому физическому лицу.
3.2. Состав персональных данных работников и пациентов, обработку которых осуществляет Учреждение:
- фамилия, имя, отчество;
- год рождения; месяц рождения; дата рождения, место рождения;
- пол; гражданство;
- анкетные и биографические данные;
- образование; профессия, доходы;
- сведения о трудовом и общем стаже;
- сведения о предыдущем месте работы;
- сведения о составе семьи;
- сведения об аттестации;
- паспортные данные;
- сведения о воинском учете;
- сведения о заработной плате сотрудника;
- сведения о социальных льготах;
- специальность;
- занимаемая должность;
- размер заработной платы;
- наличие судимостей;
- адрес места жительства;
- домашний телефон;
- содержание трудового договора;
- содержание декларации, подаваемой в налоговую инспекцию;
- подлинники и копии приказов по личному составу;
- личные дела и трудовые книжки сотрудников;
- основания к приказам по личному составу;
- дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
- копии отчетов, направляемые в органы статистики;
- копии документов об образовании;
- результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;
- фотографии и иные сведения, относящиеся к персональным данным работника;
- рекомендации, характеристики;
- деловые и иные личные качества, которые носят оценочный характер;
- СНИЛС;
- ИНН;
- состояние здоровья;
- место работы; полис ОМС;
- полис ДМС либо номер договора;
- дата и время поступления в Учреждение;
- дата и время выписки из Учреждения;
- прочие сведения, которые могут идентифицировать человека.
Из указанного списка Учреждение вправе получать и использовать только те сведения, которые характеризуют гражданина как сторону трудового договора, а также которые характеризуют гражданина как пациента Учреждения.
3.3. Данные документы являются конфиденциальными. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.
3.4. Учреждение осуществляет обработку персональных данных следующих категорий субъектов:
- работников, состоящих в трудовых отношениях с Учреждением;
- пациентов Учреждения и их ближайших родственников;
- физических лиц – посетителей сайта Учреждения – http://www.bolnitsa47.ru
3.5. Информация о персональных данных может содержаться:
- на бумажных носителях;
- на электронных носителях;
- в информационно-телекоммуникационных сетях и иных информационных системах Учреждения.
3.6. Учреждение использует следующие способы обработки персональных данных:
- автоматизированная обработка;
- без использования средств автоматизации;
- смешанная обработка (с применением объектов вычислительной техники).
Учреждение самостоятельно устанавливает способы обработки персональных данных в зависимости от целей такой обработки и материально-технических возможностей Учреждения.
При обработке персональных данных с применением объектов вычислительной техники должностные лица, осуществляющие такую обработку (пользователи объектов вычислительной техники), должны быть ознакомлены под роспись с локальными нормативными актами Учреждения, устанавливающими порядок применения объектов вычислительной техники в Учреждении.
3.7. Персональные данные работников Учреждения содержатся в следующих документах (копиях указанных документов):
- заявления работников (о принятии на работу, об увольнении и т.п.);
- паспорт (или иной документ, удостоверяющий личность);
- трудовая книжка;
- страховое свидетельство государственного пенсионного страхования;
- свидетельство о постановке на учёт в налоговый орган и присвоении ИНН;
- документы воинского учёта;
- документы об образовании, о квалификации или наличии специальных знаний, специальной подготовки;
- карточка Т-2;
- личный листок по учету кадров
- медицинское заключение о состоянии здоровья, индивидуальная программа реабилитации, медицинская справка о прохождении медицинских осмотров;
- документы, содержащие сведения об оплате труда;
- другие документы, содержащие персональные данные и предназначенные для использования в служебных целях.
3.8. Персональные данные пациентов Учреждения содержатся в следующих документах:
- Медицинская карта стационарного и амбулаторного больного (медицинская справка, результаты анализов, врачебно-консультативное заключение, протоколы заседания ВКК, пр.);
- Договор на оказание платных медицинских услуг;
- другие документы, содержащие персональные данные пациентов.
Субъекты персональных данных обязаны:
4.1. Передавать Учреждению или его представителю комплекс достоверных документированных персональных данных.
Субъекты персональных данных имеют право:
5.1. На полную информацию о своих персональных данных и обработке этих данных.
5.2. На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные сотрудника, за исключением случаев, предусмотренных законодательством Российской Федерации.
5.3. На доступ к медицинским данным с помощью медицинского специалиста по своему выбору.
5.4. Требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований, определенных трудовым законодательством. При отказе Учреждения исключить или исправить персональные данные субъекта персональных данных он имеет право заявить в письменной форме Учреждению о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера субъект персональных данных имеет право дополнить заявлением, выражающим его собственную точку зрения.
5.5. Требовать извещения Учреждением всех лиц, которым ранее были сообщены неверные или неполные персональные данные сотрудника, обо всех произведенных в них исключениях, исправлениях или дополнениях.
5.6. Обжаловать в суд любые неправомерные действия или бездействие Учреждения при обработке и защите его персональных данных.
6.1. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных работника либо пациента Учреждения.
6.2. Все персональные данные субъекта персональных данных следует получать у него самого. Если персональные данные работника либо пациента Учреждения возможно получить только у третьей стороны, то субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
6.3. Учреждение должно сообщить субъекту персональных данных о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.
6.4. Работник либо пациента Учреждения представляет Учреждению достоверные сведения о себе. Учреждение проверяет достоверность сведений, сверяя данные, представленные работником, либо пациента Учреждения, с имеющимися у документами. Представление работником Учреждения подложных документов или ложных сведений при поступлении на работу является основанием для расторжения трудового договора.
6.5. Документы, содержащие персональные данные, создаются/получают путём:
6.6. Правовыми основаниями обработки персональных данных работников Учреждения выступают трудовое законодательство РФ и иные нормативные правовые акты, содержащие нормы трудового права, пациентов — законодательство РФ, лицензия на осуществление медицинской деятельности, гражданско-правовые договоры, также согласие субъекта персональных данных.
6.7. Общий срок обработки персональных данных определяется периодом времени, в течение которого Учреждение осуществляет действия (операции) в отношении персональных данных, обусловленные заявленными целями их обработки, в том числе хранение персональных данных.
Сроки хранения документов, содержащих персональные данные, в Учреждении установлены действующим законодательством. Документы, содержащие персональные данные, с неустановленными сроками хранения уничтожаются по достижению цели обработки.
6.8. Обработка персональных данных начинается с момента их получения Учреждением и заканчивается: по достижении заранее заявленных целей обработки; либо по факту утраты необходимости в достижении заранее заявленных целей обработки.
6.9. Учреждение осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.
6.10. Обработка персональных данных субъекта персональных данных без получения его согласия осуществляется в следующих случаях, предусмотренных законодательством Российской Федерации.
6.11. Обработка персональных данных осуществляется только должностными лицами (операторами) Учреждения, непосредственно использующими их в служебных целях.
7.1. Уточнение персональных данных, в том числе их обновление и изменение, имеет своей целью обеспечение достоверности, полноты и актуальности персональных данных, обрабатываемых Учреждением.
7.2. Уточнение персональных данных осуществляется Учреждением по собственной инициативе, по требованию субъекта персональных данных или его законного представителя, по требованию уполномоченного органа по защите прав субъектов персональных данных в случае, когда установлено, что персональные данные являются неполными, устаревшими, недостоверными.
Об уточнении персональных данных Учреждением обязано уведомить субъекта персональных данных или его законного представителя.
7.3. Блокирование персональных данных осуществляется Учреждением по требованию субъекта персональных данных или его законного представителя, а также по требованию уполномоченного органа по защите прав субъектов персональных данных в случае выявления недостоверных персональных данных или неправомерных действий с ними.
О блокировании персональных данных Учреждением обязано уведомить субъект персональных данных или его законного представителя.
7.4. Уничтожение персональных данных осуществляется: по достижении цели обработки персональных данных; в случае утраты необходимости в достижении целей обработки персональных данных; по требованию субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных в случае выявления фактов совершения Учреждением неправомерных действий с персональными данными, когда устранить соответствующие нарушения не представляется возможным.
7.5. В целях обеспечения законности при обработке персональных данных и устранения факторов, влекущих или могущих повлечь неправомерные действия с персональными данными, Учреждение вправе по собственной инициативе осуществить блокирование и (или) уничтожение персональных данных.
8.1. При передаче персональных данных субъекта персональных данных Учреждение должно соблюдать следующие требования:
- не сообщать персональные данные субъекта персональных данных третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом;
- не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия;
- предупредить лиц, получающих персональные данные субъекта персональных данных, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта персональных данных, обязаны соблюдать конфиденциальность. Данное положение не распространяется на обмен персональными данными субъекта персональных данных в порядке, установленном федеральными законами;
- разрешать доступ к персональным данным субъекта персональных данных только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные субъекта персональных данных, которые необходимы для выполнения конкретных функций;
- не запрашивать информацию о состоянии здоровья субъекта персональных данных, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции;
9.1. Внутренний доступ (доступ внутри организации).
9.1.1. Право доступа к персональным данным работника имеют:
- Главный врач;
- Заместители главного врача;
- Главный бухгалтер;
- Специалисты по кадрам;
- Экономисты;
- Инженер-программист;
- Операторы ЭВМ;
- Главная медицинская сестра;
- Руководители структурных подразделений по направлению деятельности (доступ к личным данным только сотрудников подразделения);
- при переводе из одного структурного подразделения в другое доступ к персональным данным сотрудника может иметь руководитель нового подразделения по согласованию с руководителем предприятия;
- сотрудники бухгалтерии;
- специалист по охране труда - к тем данным, которые необходимы для выполнения конкретных функций;
- секретарь - к тем данным, которые необходимы для выполнения конкретных функций;
- сам работник, носитель данных.
Другие сотрудники организации имеют доступ к персональным данным работника только с письменного согласия самого работника, носителя данных.
9.1.2. Доступ к персональным данным пациентов имеют следующие должностные лица Учреждения, непосредственно использующие их в рамках выполнения своих должностных обязанностей:
-Главный врач;
- Инженер-программист, оператор ЭВМ, экономист непосредственно обрабатывающие персональные данные пациентов;
- Сотрудники бухгалтерии;
- Секретарь - к тем данным, которые необходимы для выполнения конкретных функций;
- Врачебный персонал (заведующие отделениями, врачи);
-Средний медицинский персонал, в т.ч. медицинские регистраторы
9.2. Внешний доступ.
Персональные данные вне организации могут представляться в государственные и негосударственные функциональные структуры:
- налоговые инспекции;
- правоохранительные органы;
- органы статистики;
- страховые агентства;
- военкоматы;
- органы социального страхования;
- пенсионные фонды;
- подразделения государственных и муниципальных органов управления.
9.3. Другие организации.
Сведения о работнике (в том числе уволенном) и пациенте могут быть предоставлены другой организации только с письменного запроса на бланке организации с приложением копии согласия субъекта персональных данных.
9.4. Родственники и члены семей.
Персональные данные работника и пациента могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта персональных данных.
10.1. В целях обеспечения сохранности и конфиденциальности персональных данных субъектов персональных данных Учреждения все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только, осуществляющими данную работу в соответствии со своими служебными обязанностями, зафиксированными в их должностных инструкциях.
10.2. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке предприятия и в том объеме, который позволяет не разглашать излишний объем персональных сведений о работниках предприятия.
10.3. Передача информации, содержащей сведения о персональных данных субъектов персональных данных Учреждения, по телефону, факсу, электронной почте (по не защищенным каналам связи) без письменного согласия субъектов персональных данных запрещается.
10.4. Личные дела и документы, содержащие персональные данные субъектов персональных данных, хранятся в запирающихся шкафах (сейфах), обеспечивающих защиту от несанкционированного доступа.
10.5. Персональные компьютеры, в которых содержатся персональные данные, должны быть защищены паролями доступа.
11. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ИНФОРМАЦИИ, СВЯЗАННОЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
11.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законам
ПОЛЛИТИКА в отношении обработки персональных данных в ГБУЗ НО "Городская больница №47 Ленинского района г. Н. Новгорода"