Запись на прием к врачу

Для предварительной записи на приём к врачу обращайтесь по телефону: 8(87951)6-42-80

Телефон горячей линии Министерства Здравоохранения Ставропольского края

Независимая оценка качества оказания услуг медицинским организациям

Антитеррористическая комиссия Ставропольского края

Поиск

Вход на сайт

Главная » Статьи » Мои статьи

Политика обработки и защиты персональных данных

Политика
обработки и защиты персональных данных
Георгиевского филиала ГБУЗ СК «Пятигорский межрайонный
противотуберкулезный диспансер»

 

Настоящая Политика обработки персональных данных и реализуемых требованиях к защите персональных данных (далее – Политика) разработана в соответствии с целями, задачами и принципами обеспечения безопасности персональных данных и действует в отношении всей информации, которую Георгиевский филиал ГБУЗ СК «Пятигорский межрайонный противотуберкулезный диспансер» (далее – оператор), может получить в рамках осуществления своей деятельности. Политика разработана в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и предназначена для ознакомления неограниченного круга лиц.

В Политике определены требования к персоналу оператора, степень ответственности персонала, структура и необходимый уровень защищенности, статус и должностные обязанности работников, ответственных за обеспечение безопасности персональных данных в информационных системах персональных данных (далее – ИСПД) оператора.

 

I. Общие положения

1.1. Целью настоящей Политики является обеспечение безопасности объектов защиты оператора в информационных системах от всех видов угроз, внешних и внутренних, умышленных и непреднамеренных, минимизация ущерба от возможной реализации угроз безопасности персональных данных (далее – УБПДн) информационной системы.

1.2. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

1.3. Информация и связанные с ней ресурсы должны быть доступны для субъектов персональных данных (далее – ПДн). Осуществляется своевременное обнаружение и реагирование на УБПДн.

1.4. Осуществляется предотвращение преднамеренных или случайных, частичных или полных несанкционированных модификаций или уничтожения данных.

 

II. Область действия

Требования настоящей Политики распространяются на всех работников оператора (штатных, временных, работающих по контракту и т.п.), а также пациентов, а также прочих лиц (подрядчики, аудиторы и т.п.).

 

III. Правовой режим обработки персональных данных

3.1. Субъекты персональных данных

У оператора обрабатываются персональные данные следующих категорий физических лиц (субъектов персональных данных):

— работников (лиц, состоящих в трудовых отношениях с оператором);

— работников (по гражданско-правовым договорам);

— пациентов, их родителей, законных представителей;

— иных лиц, давших согласие на обработку своих персональных данных, либо сделавших общедоступными свои персональные данные или чьи персональные данные получены из общедоступного источника, а также в других случаях, предусмотренных законодательством Российской Федерации.

3.2. Категории обрабатываемых персональных данных

Оператор обрабатывает следующие категории персональных данных:

1) Работники: фамилия, имя, отчество; данные паспорта (серия, номер, кем и когда выдан); дата и место рождения; адрес места жительства и регистрации; индивидуальный номер налогоплательщика (ИНН); страховое свидетельство государственного пенсионного страхования (СНИЛС); контактный телефон; сведения о доходах; информация об образовании; сведения о составе семьи; сведения о социальных льготах; личная фотография и др.

Документами, содержащими персональные данные являются:

а) паспорт или иной документ, удостоверяющий личность;

б) трудовая книжка;

в) страховое свидетельство государственного пенсионного страхования;

г) свидетельство о постановке на учёт в налоговом органе и присвоения ИНН;

д) документы воинского учёта;

е) документы об образовании, о квалификации или наличии специальных знаний или специальной подготовки;

ж) карточка Т-2;

з) автобиография;

и) личный листок по учёту кадров;

к) медицинское заключение о состоянии здоровья;

л) документы, содержащие сведения о заработной плате, доплатах и надбавках;

м) приказы о приеме лица на работу, об увольнении, а также о переводе лица на другую должность;

н) другие документы, содержащие сведения, предназначенные для использования в служебных целях.

2) Пациенты, родители, законные представители: фамилия, имя, отчество; дата рождения; данные о состоянии здоровья; сведения о случаях обращения за медицинской помощью; данные свидетельства о рождении; данные паспорта (серия, номер, кем и когда выдан); данные страхового медицинского полиса; контактная информация (телефон), адрес прописки, адрес проживания и др.

При обращении за медицинской помощью пациент (или его законный представитель) предоставляет Оператору персональные данные о себе в документированной форме. А в частности:
а)  паспорт или иной документ, удостоверяющий личность;
б) полис обязательного медицинского страхования;
в) свидетельства о рождении;
г) направление (при наличии) и др.

3.3. Цели обработки персональных данных

Оператор осуществляет обработку персональных данных в следующих целях:

3.3.1. Работники: содействие в трудовой деятельности, обеспечение личной безопасности, учет результатов исполнения договорных обязательств, осуществление безналичных платежей на счет работника, обеспечение работоспособности и сохранности ресурсов и имущества работодателя, осуществление коллективного взаимодействия и совместного использования информационных ресурсов, аттестация, повышение квалификации, а также наиболее полное исполнение обязательств и компетенций в соответствии с Трудовым кодексом Российской Федерации, и другими нормативно-правовыми актами Российской Федерации в сфере трудовых отношений.

3.3.2. Пациенты, родители, законные представители: с целью исполнения требований законодательства РФ: Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья в Российской Федерации», Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и других нормативно-правовых актов Российской Федерации; с целью исполнения договорных отношений.

3.4. Правовое основание обработки персональных данных

Оператор осуществляет обработку персональных данных на основании:

Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья в Российской Федерации» Трудового кодекса Российской Федерации от 30.12.2001 № 197-ФЗ;

Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;

3.5. Перечень действий с персональными данными:

Оператор осуществляет обработку (сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение) персональных данных с использованием смешанного способа обработки.

Оператор может поручить обработку персональных данных третьим лицам в случаях, если:

— субъект дал согласие на осуществление таких действий (при наличии условий в договоре с третьим лицом о соблюдении им принципов и правил обработки персональных данных, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;

— для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

— в других случаях, предусмотренных законодательством Российской Федерации.

3.6. Права субъекта

Субъект персональных данных, согласно законодательству Российской Федерации, имеет право:

— получать информацию, касающуюся обработки своих персональных данных;

— требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

— требовать прекращение обработки своих персональных данных в случаях, предусмотренных законодательством Российской Федерации;

— обжаловать действия или бездействие оператора в судебном порядке в случае нарушения им порядка обработки персональных данных субъекта;

— на защиту своих прав и законных интересов, в том числе в судебном порядке.

3.7. Условия прекращения обработки персональных данных

Срок или условие прекращения обработки персональных данных у оператора:

— ликвидация оператора или прекращение деятельности;

— истечение 75 лет – хранения персональных данных работников;

— по исполнению обязательств по договорам и в течение срока исковой давности;

— отзыв согласия если иное не предусмотрено Федеральным законодательством, либо в течение срока хранения документов согласно установленным срокам хранения для определенных категорий документов, если иное не предусмотрено Федеральным законодательством.

3.8. Оператор принимает необходимые и правовые, организационные и технические меры для защиты персональных данных граждан - субъектов персональных данных.

К мерам, применяемым для защиты персональных данных относятся:

— назначение сотрудника, ответственного за организацию обработки персональных данных (приказом главного врача);

— разработка документов, определяющих политику оператора в отношении обработки персональных данных, локальных документов по вопросам обработки персональных данных;

— ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства РФ о персональных данных, с требованиями к защите персональных данных, с документами, определяющими политику оператора в отношении обработки персональных данных, локальными документами по вопросам обработки персональных данных;

— опубликование в сети Интернет документа, определяющего политику оператора в отношении обработки персональных данных;

— установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных;

3.8.1. Методы защиты персональных данных

Методами защиты персональных данных являются:

— реализация разрешительной системы допуска к обработке персональных данных;

— ограничение доступа в помещения, где размещены технические средства, осуществляющие обработку персональных данных, а также хранятся носители информации;

— разграничение доступа к персональным данным;

— контроль несанкционированного доступа к персональным данным;

— использование защищенных каналов связи;

- использование сертифицированного антивирусного программного обеспечения с регулярно обновляемыми базами.

 

IV. Требования к персоналу по обеспечению защиты ПДн

4.1. При вступлении в должность нового работника непосредственный руководитель обязан организовать его ознакомление с должностной инструкцией и необходимыми документами, регламентирующими требования по защите ПДн, а также обучение навыкам выполнения процедур, необходимых для санкционированного использования ПК.

4.2.1. Работники оператора, являющиеся пользователями информационных систем персональных данных (ИСПДн), должны четко знать и строго выполнять установленные правила и обязанности по доступу к защищаемым объектам и соблюдению принятого режима безопасности ПДн.

4.2.2. Работник должен быть ознакомлен с Политикой, принятыми процедурами работы с элементами ИСПДн и системами защиты персональных данных (далее – СЗПДн).

4.2.3. Работники оператора, использующие технические средства аутентификации, должны обеспечивать сохранность идентификаторов (электронных ключей, логинов и паролей) и не допускать несанкционированный допуск к ним, а так же возможность их утери или использования третьими лицами. Пользователи несут персональную ответственность за сохранность идентификаторов.

4.2.4. Работники оператора должны следовать установленным процедурам поддержания режима безопасности ПДн при использовании паролей.

4.2.5. Работники оператора должны обеспечивать надлежащую защиту оборудования, оставляемого без присмотра, особенно в тех случаях, когда в помещение имеют доступ посторонние лица. Все пользователи должны знать требования по безопасности ПДн и процедуры защиты оборудования, оставленного без присмотра, а также свои обязанности по обеспечению такой защиты.

4.2.6. Работникам запрещается устанавливать постороннее программное обеспечение, подключать личные мобильные устройства и носители информации, а также записывать на них защищаемую информацию.

4.2.7. Работникам запрещается разглашать защищаемую информацию, которая стала им известна при работе с информационными системами оператора, третьим лицам.

4.2.8. При работе с ПДн на ПК работники оператора обязаны обеспечить отсутствие возможности просмотра ПДн третьими лицами с мониторов.

4.2.9. При завершении работы на ПК работники обязаны защитить монитор с помощью блокировки ключом или эквивалентного средства контроля, например, доступом по паролю, если не используются более сильные средства защиты.

4.2.10. Работники оператора должны быть проинформированы об угрозах нарушения режима безопасности ПДн и ответственности за его нарушение.

4.2.11. Работники обязаны без промедления сообщать обо всех подозрительных случаях работы ПК, могущих повлечь за собой угрозы безопасности ПДн, а также о выявленных ими событиях, затрагивающих безопасность ПДн, руководству и лицу, отвечающему за немедленное реагирование на угрозы безопасности ПДн.

4.2.12. Должностные обязанности сотрудников, обрабатывающих персональные данные.

Должностные обязанности сотрудников, обрабатывающих персональные данные изложены в следующих документах:

— Положении об обработке персональных данных работников;

— Положении об обработке персональных данных субъектов;
— Положении о конфиденциальной информации в Георгиевском филиале ГБУЗ СК «Пятигорский межрайонный противотуберкулезный диспансер»;
- Положении о доступе и защите при обработке персональных данных и иной конфиденциальной информации в Георгиевском филиале ГБУЗ СК «Пятигорский межрайонный противотуберкулезный диспансер».

4.14. Ответственность сотрудников оператора:

4.14.1. При нарушениях работниками оператора правил, связанных с безопасностью ПДн, они несут ответственность, установленную действующим законодательством Российской Федерации.

 

V. Заключительные положения

5.1. Изменение Политики

Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее утверждения и размещения в общедоступном месте, если иное не предусмотрено новой редакцией Политики.
5.2. Действующая редакция хранится в месте нахождения Организации по адресу: СК, г.Георгиевск, ул. Филатова, 1а, электронная версия Политики – на сайте учреждения.

 

Категория: Мои статьи | Добавил: Admin (04.04.2018)
Просмотров: 26
Всего комментариев: 0