Закрыть
Авторизация

Логин:

Пароль:



Забыли пароль?
Регистрация
Телефон: 8(34667)2-00-01

г. Когалым, ул. Молодежная, 19


Бюджетное учреждение ХМАО-Югры 
"Когалымская городская больница"

Положение об обработке и защите персональных данных в информационных системах персональных данных

1. Общие положения

1.1. Настоящее Положение об обработке и защите персональных данных в информационных системах персональных данных (далее – Положение) имеет своей целью закрепление механизмов обеспечения прав субъекта на сохранение конфиденциальности информации о фактах, событиях и обстоятельствах его жизни.

1.2. Настоящее Положение определяет порядок сбора, хранения, передачи и любого другого использования персональных данных работников и граждан в соответствии с законодательством Российской Федерации и гарантии конфиденциальности сведений о работнике предоставленных работником работодателю.

1.3. Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым Кодексом Российской Федерации, Федеральным законом от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных», иными нормативно-правовыми актами, действующими на территории Российской Федерации.

 

2. Основные понятия

Для целей настоящего Положения используются следующие понятия:

2.1. Оператор персональных данных (далее – Оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. В рамках настоящего положения оператором является бюджетное учреждение Ханты-Мансийского автономного округа - Югры «Когалымская городская больница».

2.2. Персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация о физическом лице.

2.3. Субъект – субъект персональных данных.

2.4. Сотрудник (работник) – физическое лицо, состоящее в трудовых отношениях с оператором.

2.5. Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных.

2.6. Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе опубликование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

2.7. Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом, затрагивающих права и свободы субъекта персональных данных или других лиц.

2.8. Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

2.9.  Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

2.10. К персональным данным относятся:

-         фамилия, имя, отчество;

-         год рождения;

-         месяц рождения;

-         дата рождения;

-         место рождения;

-         адрес;

-         семейное положение;

-         социальное положение;

-         имущественное положение;

-         сведения об образовании;

-         сведения о профессии;

-         сведения о доходах;

-         сведения о состоянии здоровья;

-         фотографии;

-         пол;

-         гражданство;

-         серия и номер паспорта;

-         дата выдачи паспорта;

-         сведения об учреждении, выдавшем паспорт;

-         номер телефона;

-         адрес электронной почты;

-         сведения о постановке на учет в налоговом органе;

-         серия и номер полиса медицинского страхования;

-         номер страхового свидетельства обязательного пенсионного страхования;

-         сведения о воинском учете;

-         сведения о социальных льготах;

-         должность;

-         сведения о трудовой деятельности;

-         сведения о повышении квалификации, переподготовке и аттестации;

-         сведения о судимости;

-         сведения о выписанных лекарственных средствах;

-         место работы или учебы членов семьи;

-         содержание служебного контракта;

-         содержание приказов по личному составу;

-         основания к приказам по личному составу;

-         сведения о награждении государственными наградами, присвоении почетных, воинских и специальных званий.

3.         Обработка персональных данных

В целях обеспечения прав и свобод человека и гражданина при обработке персональных данных обязаны соблюдаться следующие требования:

3.1.           Общие требования при обработке персональных данных:

3.1.1.    Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения Конституции Российской Федерации, законов и иных нормативных правовых актов РФ, содействия субъектам персональных данных в трудоустройстве, продвижении по службе, обучении, контроля количества и качества выполняемой работы, обеспечения личной безопасности субъекта персональных данных и членов его семьи, а также в целях обеспечения сохранности принадлежащего ему имущества и имущества оператора.

3.1.2.    Персональные данные не могут быть использованы в целях причинения имущественного и/или морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.

3.1.3.    При принятии решений, затрагивающих интересы субъекта персональных данных, нельзя основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.

3.1.4.    Сотрудники или их законные представители должны быть ознакомлены под расписку с документами оператора, устанавливающими порядок обработки персональных данных субъектов, а также их права и обязанности в этой области.

3.1.5.    Субъекты персональных данных, не являющиеся работниками, или их законные представители имеют право ознакомиться с документами оператора, устанавливающими порядок обработки персональных данных субъектов, а также их права и обязанности в этой области.

3.1.6.    Субъекты персональных данных не должны отказываться от своих прав на сохранение и защиту тайны.

3.2.           Получение персональных данных:

3.2.1.    Все персональные данные следует получать непосредственно от субъекта персональных данных. Субъект самостоятельно принимает решение о предоставлении своих персональных данных и дает письменное согласие на их обработку оператором. Форма согласия субъекта на обработку персональных данных представлена в приложении 1 к настоящему положению.

3.2.2.    В случае недееспособности либо несовершеннолетия субъекта персональных данных все персональные данные субъекта следует получать от его законных представителей. Законный представитель самостоятельно принимает решение о предоставлении персональных данных своего подопечного и дает письменное согласие на их обработку оператором. Форма согласия на обработку персональных данных подопечного представлена в приложении 1 к настоящему положению.

3.2.3.    Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случаях, указанных в пункте 3.2.2 настоящего положения согласие может быть отозвано законным представителем субъекта персональных данных. Форма отзыва согласия на обработку персональных данных представлена в приложении 2 к настоящему положению.

3.2.4.    В случаях, когда оператор может получить необходимые персональные данные субъекта только у третьей стороны, субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. В уведомлении оператор обязан сообщить о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение. Согласие оформляется в письменной форме в двух экземплярах, один из которых предоставляется субъекту, второй хранится у оператора. Форма заявления-согласия субъекта на получение его персональных данных от третьей стороны представлена в приложении 3 к настоящему положению.

3.2.5.    Запрещается получать и обрабатывать персональные данные субъекта о его политических, религиозных и иных убеждениях и частной жизни.

3.2.6.    Запрещается получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.

3.2.7.    В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации оператор вправе получать и обрабатывать данные о частной жизни субъекта только с его письменного согласия.

3.3.           Хранение персональных данных:

3.3.1.    Хранение персональных данных субъектов осуществляется на бумажных и электронных носителях с ограниченным доступом.

3.3.2.    Личные дела хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела хранятся в специально отведенной секции сейфа, обеспечивающего защиту от несанкционированного доступа.

3.3.3.    Подразделения, хранящие персональные данные на бумажных носителях, обеспечивают их защиту от несанкционированного доступа и копирования согласно «Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденному постановлением Правительства РФ от 15.09. 2008 №687.

3.3.4.    Хранение персональных данных в автоматизированной базе данных обеспечивается защитой согласно постановлению Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

3.4.           Передача персональных данных:

3.4.1.    При передаче персональных данных субъекта оператор обязан соблюдать следующие требования:

-           не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, предусмотренных Трудовым Кодексом Российской Федерации или иными федеральными законами. Форма заявления-согласия субъекта на передачу его персональных данных третьей стороне представлена в приложении 4 настоящего положения;

-           предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать требования конфиденциальности;

-           не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия;

-           не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения им трудовой функции;

-           передавать персональные данные субъекта представителям субъектов в порядке, установленном Трудовым Кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функций;

-           все сведения о передаче персональных данных субъекта регистрируются в целях контроля правомерности использования данной информации лицами, ее получившими. Регистрации подлежат сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также отмечается, какая именно информация была передана.

3.4.2.    Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

3.4.3.    Внутренний доступ (доступ внутри организации) к персональным данным субъекта. Право доступа к персональным данным субъекта имеют работники, допущенные к работе в ИСПДн, в соответствии с приказом БУ «Когалымская городская больница» №166 от 13.04.2016 года «О мониторинге обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных в БУ «Когалымская городская больница» и в соответствии с матрицей доступа пользователей к информационным ресурсам и программным средствам информационной системы персональных данных.

3.4.4.    Все сотрудники, имеющие доступ к персональным данным субъектов, обязаны подписать соглашение о неразглашении персональных данных.

3.4.5.    К числу массовых потребителей персональных данных вне учреждения относятся государственные и негосударственные функциональные структуры: налоговые инспекции, правоохранительные органы, органы статистики, страховые агентства, военкоматы, органы социального страхования, пенсионные фонды, подразделения федеральных, областных и муниципальных органов управления. Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.

3.4.6.    Организации, в которые субъект может осуществлять перечисления денежных средств (страховые Общества, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения) могут получить доступ к персональным данным субъекта только в случае его письменного разрешения.

3.5.           Уничтожение персональных данных:

3.5.1.    Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

3.5.2.    Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.

 

4. Права и обязанности субъектов персональных данных и оператора

4.1.           В целях обеспечения защиты персональных данных субъекты имеют право:

-           получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);

-           осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законодательством;

-           требовать исключения или исправления неверных, или неполных персональных данных, а также данных, обработанных с нарушением законодательства;

-           при отказе оператора или уполномоченного им лица исключить или исправить персональные данные субъекта - заявить в письменной форме о своем несогласии, представив соответствующее обоснование;

-           дополнить персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;

-           требовать от оператора или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них изменениях или исключениях из них;

-           обжаловать в суд любые неправомерные действия или бездействие оператора или уполномоченного им лица при обработке и защите персональных данных субъекта.

4.2.           Для защиты персональных данных субъектов оператор обязан:

-           за свой счет обеспечить защиту персональных данных субъекта от неправомерного их использования или утраты в порядке, установленном законодательством РФ;

-           ознакомить работника или его представителей с настоящим положением и его правами в области защиты персональных данных под расписку;

-           по запросу ознакомить субъекта персональных данных, не являющегося работником, или в случае недееспособности либо несовершеннолетия субъекта, его законных представителей с настоящим положением и его правами в области защиты персональных данных;

-           осуществлять передачу персональных данных субъекта только в соответствии с настоящим Положением и законодательством Российской Федерации;

-           предоставлять персональные данные субъекта только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей в соответствии с настоящим положением и законодательством Российской Федерации;

-           обеспечить субъекту свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством;

-           по требованию субъекта или его законного представителя предоставить ему полную информацию о его персональных данных и обработке этих данных.

4.3.           Субъект персональных данных или его законный представитель обязуется предоставлять персональные данные, соответствующие действительности.

 

5. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

5.1.           Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, содержащему персональные данные, несет персональную ответственность за данное разрешение.

5.2.           Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым Кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.


Телефон: 8(34667)2-00-01

г. Когалым, ул. Молодежная, 19