Персональные данные
Уважаемые пациенты ГБУЗ Самарской области
«Сызранская стоматологическая поликлиника»!
В настоящее время, на территории Российской Федерации осуществляется государственное регулирование в области обеспечения безопасности персональных данных (далее – ПДн). Правовое регулирование вопросов обработки ПДн осуществляется в соответствии с Конституцией Российской Федерации и международными договорами Российской Федерации, на основании вступившего в силу с 2007 года Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» и принятых во исполнение его положений, нормативно-правовых актов и методических документов.
В поликлинике регистратор передаст Вам бланк "Согласия на обработку персональных данных", мы просим Вас его заполнить!!!
Персональными данными является информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Персональные данные обрабатываются как в электронных системах, так и на бумажных носителях (амбулаторная карта пациента).
В связи с действующим законодательством медицинские учреждения, являющиеся операторами, обрабатывающими персональные данные должны осуществлять обработку персональных данных с письменного согласия субъектов персональных данных (либо опекунов при недееспособности граждан).
Персональные данные пациентов используются медицинскими учреждениями для осуществления следующих мероприятий:
• Оказание медицинской помощи (статья 10 п.3,4 152-ФЗ)
• Постановка на учет;
• Обеспечение надомного обслуживания пациента;
• Оплата медицинских услуг в ТФОМС и страховые компании;
• С целью своевременного информирования о предстоящих мероприятиях индивидуального характера (проведение периодических осмотров, сообщение информации и т.д.).
При отказе пациента предоставить письменное согласие на обработку его персональных данных сотрудники поликлиники не смогут внести необходимые данные в амбулаторную карту или найти пациента по электронной базе данных пациентов!
УТВЕРЖДЕНА
Приказом главного врача № 24 от 21.01.2014
ПОЛИТИКА
в отношении обработки персональных данных
1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных в Государственном бюджетном учреждении здравоохранения Самарской области «Сызранская стоматологическая поликлиника» (далее — ГБУЗ СО «ССП») (далее — Политика) составлена в соответствии с ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и действует в отношении персональных данных (далее — ПДн), которые ГБУЗ СО «ССП» может получить от субъектов ПДн.
1.2. Основные понятия, используемые в Политике:
- персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПДн), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, имущественное положение, образование, профессия, доходы и иная информация;
- обработка персональных данных — действия (операции) со сведениями, отнесенными к ПДн, включая их сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение с использованием средств автоматизации или без использования таких средств.;
- оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
- информационная система персональных данных (далее — ИСПДн) – информационная система, представляющая собой совокупность ПДн, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких ПДн с использованием средств автоматизации или без использования таких средств;
- автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
- обработка персональных данных без использования средств автоматизации (неавтоматизированная) – обработка ПДн, содержащихся в ИСПДн либо извлеченных из такой системы, если такие действия с ПДн, как использование, уточнение, распространение, уничтожение ПДн в отношении каждого из субъектов ПДн, осуществляются при непосредственном участии человека;
- предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
- уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;
- технический канал утечки информации — совокупность носителя информации (средства обработки), физической среды распространения информативного сигнала и средств, которыми добывается защищаемая информация.
1.3. Обработка ПДн в ГБУЗ СО «ССП» основана на следующих принципах:
- осуществления на законной и справедливой основе;
- соответствия содержания и объема обрабатываемых ПДн целям обработки ПДн;
- соответствия содержания и объема обрабатываемых ПДн целям обработки ПДн;
- достоверности ПДн, их актуальности и достаточности для целей обработки, недопустимости обработки избыточных по отношению к целям сбора ПДн;
- ограничения обработки ПДн при достижении конкретных и законных целей, запретом обработки ПДн, несовместимых с целями сбора ПДн;
- запрета объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
- осуществления хранения ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен действующим законодательством.
- обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.
1.4. В соответствии с принципами обработки ПДн определены цели обработки ПДн:
- для оказания медицинских услуг, ведения персонифицированного учета в сфере обязательного медицинского страхования в соответствии с действующим законодательством;
- для исполнения условий трудового договора и осуществления прав и обязанностей в соответствии с трудовым законодательством;
- для принятия решения о трудоустройстве;
1.5. В ГБУЗ СО «ССП» обрабатываются ПДн, которые можно получить от следующих субъектов ПДн:
- граждан, обращающихся в ГБУЗ СО «ССП» для получения медицинских услуг;
- граждан, состоящих с ГБУЗ СО «ССП» в отношениях, регулируемых трудовым законодательством;
- граждан, являющихся претендентами на замещение вакантных должностей;
1.6. Срок хранения ПДн субъекта ПДн определяется в соответствии с действующим законодательством и иными нормативными правовыми документами.
2. Особенности обработки персональных данных и их передачи третьим лицам
2.1. При обработке ПДн ГБУЗ СО «ССП» руководствуется Федеральным законом «О персональных данных» от 27.07.2006 № 152-ФЗ, Постановлением Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденным Постановлением Правительства Российской Федерации от 15.09.2008 № 687, Конституцией Российской Федерации, принятой 12.12.1993; ст. 23, 24 (неприкосновенность частной жизни, личная и семейная тайна), ст. 41, 42 (недопустимость сокрытия информации, связанной с угрозой жизни и здоровью); Федеральным законом “Об основах охраны здоровья граждан” от 09.11.2011 г. ст. 13 «Соблюдение врачебной тайны ”;
2.2. Учреждение вправе передать ПДн третьим лицам в следующих случаях:
- субъект ПДн выразил свое согласие на такие действия в любой позволяющей подтвердить факт его получения форме;
- передача предусмотрена федеральным законодательством в рамках установленной процедуры.
2.3. Субъект ПДн обладает правами, предусмотренными Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
3. Меры, применяемые для защиты персональных данных
3.1. ГБУЗ СО «ССП» принимает необходимые и достаточные правовые, организационные и технические меры для защиты ПДн субъектов ПДн. К таким мерам, в частности, относятся:
- назначение сотрудников, ответственных за организацию обработки ПДн;
- осуществление внутреннего контроля соответствия обработки ПДн Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных»;
- ознакомление работников, непосредственно осуществляющих обработку ПДн, с положениями действующего законодательства о ПДн, требованиями к защите ПДн и иными документами по вопросам обработки ПДн;
- определение угроз безопасности ПДн при их обработке в ИСПДн;
- применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
- осуществление оценки эффективности принимаемых мер по обеспечению безопасности ПДн;
- осуществление учета машинных носителей ПДн;
- установление правил доступа к ПДн, обрабатываемым в ИСПДн;
- осуществление контроля за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн;
- разработка локальных документов по вопросам защиты и обработки ПД.
4.Регламент взаимодействия с субъектами персональных данных
4.1. Субъект персональных данных имеет право на получение сведений об ГБУЗ СО «ССП» (далее - Оператор), о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными.
4.2. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
4.3. Сведения о наличии персональных данных должны предоставляться субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной подписью в соответствии с законодательством Российской Федерации. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональныхданных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом № 152-ФЗ от 27.07.06 г. «О персональных данных»;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
10) иные сведения, предусмотренные Федеральным законом № 152-ФЗ от 27.07.06 г. «О персональных данных».
Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
1) обработка персональных данных, включая персональные данные, полученные в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
3) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
4) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
5) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
4.4. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
4.5.Оператор обязан рассмотреть возражение против автоматизированной обработки в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.
Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Федерального закона или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
4.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
5. Изменение Политики. Применимое законодательство
5.1. ГБУЗ СО «ССП» имеет право вносить изменения в настоящую Политику.
5.2. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции.
5.3. Новая редакция Политики вступает в силу с момента ее размещения на сайте ГБУЗ СО «ССП», если иное не предусмотрено новой редакцией Политики.