1. Общие положения1.1. Настоящая Политика оператора в отношении обработки персональных данных (далее – ПДн) (далее – Политика) разработана в целях выполнения норм федерального законодательства Бюджетным учреждением Ханты-Мансийского автономного округа-Югры «Лангепасская городская стоматологическая поликлиника»(далее - Оператор).
1.2. Политика характеризуется следующими признаками:
- Разработана в целях обеспечения реализации требований законодательства Российской Федерации в области обработки ПДн субъектов ПДн;
- Раскрывает основные категории ПДн, обрабатываемых Оператором, цели, способы и принципы обработки Оператором ПДн, права и обязанности Оператора при обработке ПДн, права субъектов ПДн, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности ПДн при их обработке;
- Является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке ПДн.
2. Информация об Операторе
Наименование: Бюджетное учреждение Ханты-Мансийского автономного округа-Югры «Лангепасская городская стоматологическая поликлиника».
ИНН: 8607005727
Фактический адрес: г.Лангепас, ул. Ленина, 13/1, помещение 2.
Тел., факс: 8(34669) 5-08-20.
3. Основные понятия
Для целей настоящей Политики используются следующие понятия:
3.1. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
3.2. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту ПДн).
3.3. Субъект – субъект ПДн.
3.4. Работник – физическое лицо, состоящее в трудовых отношениях с оператором.
3.5. Обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн.
3.6. Распространение ПДн – действия, направленные на раскрытие ПДн неопределенному кругу лиц.
3.7. Автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники.
3.8. Предоставление ПДн – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.
3.9. Блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн).
3.10. Уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе персональных данных (далее – ИСПДн) и (или) в результате которых уничтожаются материальные носители ПДн.
3.11. Обезличивание ПДн – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн.
3.12. Информационная система персональных данных – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств.
3.13. Трансграничная передача ПДн – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
4. Правовые основания обработки ПДн
4.1. Политика Оператора в области обработки ПДн, а также основание для обработки ПДн определяются в соответствии со следующими нормативными правовыми актами Российской Федерации:
- Конституцией Российской Федерации.
- Трудовым кодексом Российской Федерации.
- Гражданским кодексом Российской Федерации.
- Федеральный закон от 21.11.2011 № 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации".
- Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
- Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».
- Федеральным законом от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации».
5. Цели обработки ПДн
5.1. Оператор обрабатывает ПДн исключительно в следующих целях:
- Исполнения положений нормативных актов, указанных в п. 4.1.
- Ведение кадрового и бухгалтерского учета работников БУ «Лангепасская городская больница»;
- В целях оказания медицинской помощи в рамках территориальной программы обязательного медицинского страхования на основании Федерального закона № 326 «Об обязательном медицинском страховании в Российской Федерации», либо на основании заключенного договора о предоставлении платных медицинских услуг, либо на основании полиса ДМС.
- Заключения и выполнения обязательств по трудовым договорам, договорам гражданско-правового характера и договорам с контрагентами;
6. Категории обрабатываемых ПДн, источники их получения, сроки обработки и хранения
6.1. В ИСПДн Оператора обрабатываются следующие категории ПДн:
- Сотрудников. (административно-управленческий персонал). Источники поступления: из первичной документации, предоставляемой самими субъектами персональных данных;
- Не сотрудников (пациенты, лица, состоящие в договорных отношениях).
7. Основные принципы обработки, передачи и хранения ПДн
7.1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки ПДн, указанных в ст. 5 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
7.2. Оператор не осуществляет обработку биометрических ПДн (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).
7.3. Оператор выполняет обработку специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.
7.4. Оператор не производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу ПДн.
7.5. Оператором созданы общедоступные источники ПДн (справочники, адресные книги). ПДн, сообщаемые субъектом (фамилия, имя, отчество, год и место рождения, адрес, сведения о профессии и др.), включаются в такие источники только с письменного согласия субъекта ПДн.
8. Сведения о третьих лицах, участвующих в обработке ПДн
8.1. В целях соблюдения законодательства Российской Федерации, для достижения целей обработки, а также в интересах и с согласия субъектов ПДн Оператор в ходе своей деятельности предоставляет ПДн следующим организациям:
- службе по контролю и надзору в сфере здравоохранения ХМАО-Югры;
- правоохранительным органам;
- федеральной налоговой службе;
- федеральному и территориальному фондам обязательного медицинского страхования;
- пенсионному фонду Российской Федерации, включая его территориальные органы;
- страховым медицинским организациям, осуществляющим страхование;
- организациям (учреждениям), осуществляющим на законном основании обработку медико-статистической информации;
- в иные органы и организации в случая, установленных нормативными правовыми актами, обязательными для исполнения.
8.2. Оператор не поручает обработку ПДн другим лицам.
9. Меры по обеспечению безопасности ПДн при их обработке9.1. Оператор при обработке ПДн принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности ПДн достигается, в частности, следующими способами:
- Назначением ответственных за организацию обработки ПДн;
- Осуществлением внутреннего контроля и аудита соответствия обработки ПДн Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, локальным актам;
- Ознакомлением работников Оператора, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе с требованиями к защите ПДн, локальными актами в отношении обработки ПДн, и обучением указанных сотрудников;
- Определением угроз безопасности ПДн при их обработке в ИСПДн;
- Применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн;
- Оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
- Учетом машинных носителей ПДн;
- Выявлением фактов несанкционированного доступа к ПДн и принятием соответствующих мер;
- Восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- Установлением правил доступа к ПДн, обрабатываемым в ИСПДн, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в ИСПДн;
- Контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности ИСПДн.
9.2. Обязанности должностных лиц, осуществляющих обработку и защиту ПДн, а также их ответственность, определяются приказами.
10. Обработка ПДн
10.1. Общие требования при обработке ПДн.
В целях обеспечения прав и свобод человека и гражданина при обработке ПДн соблюдаются следующие требования:
10.1.1. Обработка ПДн допускается в следующих случаях:
- обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн;
- обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
- обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн, если получение согласия субъекта ПДн невозможно;
- обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта ПДн;
- обработка ПДн осуществляется в статистических или иных исследовательских целях при условии обязательного обезличивания ПДн за исключением целей, указанных в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных»;
- осуществляется обработка ПДн, доступ неограниченного круга лиц, к которым предоставлен субъектом ПДн либо по его просьбе (далее – ПДн, сделанные общедоступными субъектом ПДн);
- осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.
10.1.2. Обработка ПДн должна осуществляться на законной и справедливой основе.
10.1.3. Обработка ПДн должна ограничиваться достижением конкретны, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.
10.1.4. Не допускается объединение баз данны, содержащих ПДн, обработка которых осуществляется в целя, несовместимых между собой.
10.1.5. Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки.
10.1.6. При обработке ПДн должны быть обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
10.1.7. Субъекты ПДн не должны отказываться от своих прав на сохранение и защиту ПДн.
10.1.8. Порядок рассмотрения запросов субъектов ПДн или их представителей осуществляется в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».
10.2. Получение ПДн:
10.2.1. Все ПДн следует получать непосредственно от субъекта ПДн. Субъект самостоятельно принимает решение о предоставление своих ПДн и дает письменное согласие на их обработку оператором.
10.2.2. Если предоставление ПДн является обязательным в соответствии с федеральным законом, оператор обязан разъяснить субъекту ПДн юридические последствия отказа предоставить его ПДн.
10.2.3. В случае недееспособности либо несовершеннолетия субъекта ПДн все ПДн субъекта следует получать от его законных представителей. Законный представитель самостоятельно принимает решение о предоставлении ПДн своего подопечного и дает письменное согласие на их обработку оператором.
10.2.4. Письменное согласие не требуется, если обработка ПДн осуществляется в случая, указанных в пункте 10.1.1 настоящей Политике.
10.2.5. Согласие на обработку ПДн может быть отозвано субъектом ПДн. В случая, указанных в пункте 10.2.3. настоящей Политики согласие может быть отозвано законным представителем субъекта ПДн.
10.2.6. В случая, когда оператор может получить необходимые ПДн субъекта только у третьей стороны, субъект должен быть уведомлен об этом заранее. В уведомлении оператор обязан указать:
- наименование и адрес оператора;
- цель обработки ПДн и ее правовое основание;
- предполагаемые пользователи ПДн;
- права субъекта ПДн;
- источник получения ПДн.
10.2.7. Запрещается получать и обрабатывать ПДн субъекта о его политически, религиозных и иных убеждениях и частной жизни.
10.2.8. Запрещается получать и обрабатывать ПДн субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.
10.2.9. В случая, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации оператор вправе получать и обрабатывать данные о частной жизни субъекта только с его письменного согласия.
10.3. Хранение ПДн:
10.3.1. Хранение ПДн субъектов осуществляется структурными подразделениями оператора в соответствии с перечнями ПДн и ИСПДн, утвержденными у Оператора.
10.3.2. Личные дела сотрудников хранятся в бумажном виде в папка, прошитые и пронумерованные по страницам. Личные дела хранятся в специально отведенной секции сейфа (или металлических шкафах), обеспечивающего защиту от несанкционированного доступа.
10.3.3. Подразделения, хранящие ПДн на бумажных носителя, обеспечивают их защиту от несанкционированного доступа и копирования согласно постановлению Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данны, осуществляемой без использования средств автоматизации».
10.4. Передача ПДн:
10.4.1. При передаче ПДн субъекта оператор обязан соблюдать следующие требования:
- не сообщать ПДн субъекта третьей стороне без письменного согласия субъекта или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случая, предусмотренных Трудовым Кодексом Российской Федерации или иными федеральными законами.
- предупредить лиц, получающих ПДн субъекта, о том, что эти данные могут быть использованы лишь в целя, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие ПДн субъекта, обязаны соблюдать требования конфиденциальности;
- не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения им трудовой функции;
- передавать ПДн субъекта представителям субъектов в порядке, установленном Трудовым Кодексом Российской Федерации, и ограничивать эту информацию только теми ПДн субъекта, которые необходимы для выполнения указанными представителями их функций;
- все сведения о передаче ПДн субъекта регистрируются в Журнале учета передачи ПДн в целях контроля правомерности использования данной информации лицами, ее получившими. В журнале фиксируются сведения о лице, направившем запрос, дата передачи ПДн или дата уведомления об отказе в их предоставлении, а также отмечается, какая именно информация была передана.
10.4.2. Все меры конфиденциальности при сборе, обработке и хранении ПДн субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
10.4.3. Доступ работников к ПДн разрешен в соответствии со списками, утвержденными Оператором.
10.4.4. Все сотрудники, имеющие доступ к ПДн субъектов, обязаны подписать обязательство о неразглашении ПДн.
10.4.5. Передача ПДн осуществляется в организации, указанные в пункте 8 настоящей Политики.
10.5. Уничтожение ПДн:
10.5.1. ПДн субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
10.5.2. Документы, содержащие ПДн, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.
11. Права и обязанности субъектов ПДн и оператора
11.1. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
- подтверждение факта обработки ПДн оператором;
- правовые основания и цели обработки ПДн;
- цели и применяемые оператором способы обработки ПДн;
- наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с оператором или на основании федерального закона;
- обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки ПДн, в том числе сроки их хранения;
- порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка поручена или будет поручена такому лицу;
- иные сведения, предусмотренные действующим законодательством Российской Федерации.
11.2. В целях обеспечения защиты ПДн субъекты имеют право:
- требовать от оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- требовать предоставления сведений, указанных в пункте 11.1, от оператора в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн;
- требовать предоставления сведений, указанных в пункте 11.1, от оператора при обращении либо при получении запроса субъекта ПДн или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн оператором, подпись субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации;
- требовать исключения или исправления неверны, или неполных ПДн, а также данны, обработанных с нарушением законодательства;
- при отказе оператора или уполномоченного им лица исключить или исправить ПДн субъекта – заявить в письменной форме о своем несогласии, представив соответствующее обоснование;
- дополнить ПДн оценочного характера заявлением, выражающим его собственную точку зрения;
- требовать от оператора или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные ПДн субъекта, обо всех произведенных в них изменениях или исключениях из них;
- обжаловать в суд любые неправомерные действия или бездействие оператора, или уполномоченного им лица при обработке и защите ПДн субъекта.
11.3. Субъект ПДн или его законный представитель обязуется предоставлять ПДн, соответствующие действительности.
12. Ответственность за нарушение норм, регулирующих обработку и защиту ПДн
12.1. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, содержащему ПДн, несет персональную ответственность за данное разрешение.
12.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым Кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.
13. Изменения настоящей Политики
Настоящая политика может быть дополнена либо изменена. В случае внесения в настоящую Политику изменений, к ним будет обеспечен неограниченный доступ всем заинтересованным субъектам персональных данных.