Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

Информационная система персональных данных (ИСПД) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Пациент - физическое лицо, которому оказывается медицинская помощь или которое обратилось за оказанием медицинской помощи независимо от наличия у него заболевания и от его состояния;

Медицинская деятельность - профессиональная деятельность по оказанию медицинской помощи, проведению медицинских экспертиз, медицинских осмотров.

 

3. Принципы обеспечения безопасности персональных данных

 

3.1.​ Основной задачей обеспечения безопасности персональных данных при их обработке в Организации является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения персональных данных, разрушения (уничтожения) или искажения их в процессе обработки.

3.2.​ Для обеспечения безопасности персональных данных Организация руководствуется следующими принципами:

·         законность: защита персональных данных основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты персональных данных;

·         системность: обработка персональных данных в Организации осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности персональных данных;

·         комплексность: защита персональных данных строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах Организации и других имеющихся в Организации систем и средств защиты;

·         непрерывность: защита персональных данных обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки персональных данных, в том числе при проведении ремонтных и регламентных работ;

·         своевременность: меры, обеспечивающие надлежащий уровень безопасности персональных данных, принимаются до начала их обработки;

·         преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты персональных данных осуществляется на основании результатов анализа практики обработки персональных данных в Организации с учетом выявления новых способов и средств реализации угроз безопасности персональных данных, отечественного и зарубежного опыта в сфере защиты информации;

·         персональная ответственность: ответственность за обеспечение безопасности персональных данных возлагается на Работников в пределах их обязанностей, связанных с обработкой и защитой персональных данных;

·         минимизация прав доступа: доступ к персональным данным предоставляется Работникам только в объеме, необходимом для выполнения их должностных обязанностей;

·         гибкость: обеспечение выполнения функций защиты персональных данных при изменении характеристик функционирования информационных систем персональных данных Организации, а также объема и состава обрабатываемых персональных данных;

·         специализация и профессионализм: реализация мер по обеспечению безопасности персональных данных осуществляются Работниками, имеющих необходимые для этого квалификацию и опыт;

·         эффективность процедур отбора кадров: кадровая политика Организации предусматривает тщательный подбор персонала и мотивацию Работников, позволяющую исключить или минимизировать возможность нарушения ими безопасности персональных данных;

·         наблюдаемость и прозрачность: меры по обеспечению безопасности персональных данных должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы (прозрачны) и могли быть оценены лицами, осуществляющими контроль;

·         непрерывность контроля и оценки: устанавливаются процедуры постоянного контроля использования систем обработки и защиты персональных данных, а результаты контроля регулярно анализируются.

3.3.​ В Организации не производится обработка персональных данных, несовместимая с целями их сбора. Если иное не предусмотрено федеральным законом, по окончании обработки персональных данных в Организации, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывавшиеся Организацией персональные данные уничтожатся или обезличиваются.

3.4.​ При обработке персональных данных обеспечиваются их точность, достаточность, а при необходимости - и актуальность по отношению к целям обработки. Организация принимает необходимые меры по удалению или уточнению неполных или неточных персональных данных.

 

4. Обработка персональных данных

 

4.1.​ Получение Персональных данных

4.1.1.​ Все персональные данные следует получать от самого субъекта. Если персональные данные субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие.

4.1.2.​ Оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных, перечне действий с персональными данными, сроке, в течение которого действует согласие и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.

4.1.3.​ Документы, содержащие персональные данные создаются путем:

·         а) копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.);

·         б) внесения сведений в учетные формы;

·         в) получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).

Порядок доступа субъекта персональных данных к его персональным данным, обрабатываемым Организацией, определяется в соответствии с законодательством и определяется внутренними регулятивными документами Организации.

4.2.​ Обработка Персональных данных

4.2.1.​ Обработка персональных данных осуществляется:

·         с согласия субъекта персональных данных на обработку его персональных данных;

·         в случаях, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей;

·         в случаях, когда осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных).

Доступ Работников к обрабатываемым персональным данным осуществляется в соответствии с их должностными обязанностями и требованиями внутренних регулятивных документов Организации.

Допущенные к обработке персональных данных Работники под роспись знакомятся с документами организации, устанавливающими порядок обработки персональных данных, включая документы, устанавливающие права и обязанности конкретных Работников. Организацией производится устранение выявленных нарушений законодательства об обработке и защите персональных данных.

4.2.2 Цели обработки персональных данных:

·         обеспечение организации оказания медицинской помощи населению, а также наиболее полного исполнения обязательств и компетенций в соответствии с Федеральными законами от 21 ноября 2011г № 323-ФЗ «Об основах охраны здоровья граждан Российской Федерации», от 12 апреля 2010 г. № 61-ФЗ «Об обращении лекарственных средств» и от 29 ноября 2010 года;

·         осуществление трудовых отношений;

·         осуществление гражданско-правовых отношений.

4.2.3.​ Категории субъектов персональных данных
В Организации обрабатываются персональные данные следующих субъектов:

·         физические лица, состоящие с учреждением в трудовых отношениях;

·         физические лица, являющие близкими родственниками сотрудников учреждения;

·         физические лица, уволившиеся из учреждения;

·         физические лица, являющиеся кандидатами на работу;

·         физические лица, состоящие с учреждением в гражданско-правовых отношениях;

·         физические лица, обратившиеся в учреждение за медицинской помощью.

4.2.4.​ Персональные данные, обрабатываемые Организацией:

·         данные полученные при осуществлении трудовых отношений;

·         данные полученные для осуществления отбора кандидатов на работу в организацию;

·         данные полученные при осуществлении гражданско-правовых отношений;

·         данные полученные при оказании медицинской помощи.

Полный список персональных данных представлен в Перечне персональных данных, утвержденном главным врачом Организации.

4.2.5.​ Обработка персональных данных ведется:

·         с использованием средств автоматизации.

·         без использования средств автоматизации.

4.3.​ Хранение персональных данных

4.3.1.​ Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.

4.3.2.​ Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах, либо в запираемых помещениях с ограниченным правом доступа (регистратура).

4.3.3.​ Персональные данные субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках (вкладках).

4.3.4.​ Не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах (файлообменниках) в ИСПД.

4.3.5.​ Хранение персональных данных в форме, позволяющей определить субъекта персональные данные субъекта, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

4.4.​ Уничтожение персональных данных

4.4.1.​ Уничтожение документов (носителей), содержащих персональных данных производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.

4.4.2.​ Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.

4.4.3.​ Уничтожение производится комиссией. Факт уничтожения персональных данных подтверждается документально актом об уничтожении носителей, подписанным членами комиссии.

4.5.​ Передача персональных данных

4.5.1.​ Организация передает персональные данные третьим лицам в следующих случаях:

·         субъект выразил свое согласие на такие действия;

·         передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.

4.5.2.​ Перечень лиц, которым передаются персональные данные Третьи лица, которым передаются персональные данные:

·         Пенсионный фонд РФ для учета (на законных основаниях);

·         Налоговые органы РФ (на законных основаниях);

·         Фонд социального страхования (на законных основаниях);

·         банки для начисления заработной платы (на основании договора);

·         судебные и правоохранительные органы в случаях, установленных законодательством;

·         бюро кредитных историй (с согласия субъекта);

·         юридические фирмы, работающие в рамках законодательства РФ, при неисполнении обязательств по договору займа (с согласия субъекта).

 

 

5. Защита персональных данных

 

5.1.​ В соответствии с требованиями нормативных документов Организацией создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.

5.2.​ Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих

создание, функционирование и совершенствование СЗПД.

5.3.​ Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами, защиты информации в открытой печати, публикаторской и рекламной деятельности, аналитической работы.

5.4.​ Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту персональных данных.

5.5.​ Основными мерами защиты персональных данных, используемыми Организацией, являются:

5.5.1.​ Назначение лица ответственного за обработку персональных данных, которое осуществляет организацию обработки персональных данных, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите персональных данных;

5.5.2.​ Определение актуальных угроз безопасности персональных данных при их обработке в ИСПД, и разработка мер и мероприятий по защите персональных данных;

5.5.3.​ Разработка политики в отношении обработки персональных данных;

5.5.4.​ Установление правил доступа к персональным данным, обрабатываемым в ИСПД, а также обеспечения регистрации и учета всех действий, совершаемых с персональными данными в ИСПД;

5.5.5.​ Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями;

5.5.6.​ Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, учет машинных носителей персональных данных, обеспечение их сохранности;

5.5.7.​ Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами;

5.5.8.​ Сертифицированное программное средство защиты информации от несанкционированного доступа;

5.5.9.​ Сертифицированные межсетевой экран и средство обнаружения вторжения;

5.5.10.​ Соблюдение условий, обеспечивающих сохранность персональных данных и исключающие несанкционированный к ним доступ, оценка эффективности принимаемых и реализованных мер по обеспечению безопасности персональных данных

5.5.11.​ Установление правил доступа к обрабатываемым персональным данным, обеспечение регистрации и учета действий, совершаемых с персональными данными, а также обнаружение фактов несанкционированного доступа к персональным данным и принятия мер;

5.5.12.​ Восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

5.5.13.​ Обучение работников Организации непосредственно осуществляющих обработку персональных данных, положениям законодательства Российской Федерации о персональных данных, в том числе требованиям к защите персональных данных, документами, определяющими политику Организации в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных;

5.5.14.​ Осуществление внутреннего контроля и аудита.

 

6. Основные права субъекта персональных данных и обязанности Организации

 

6.1.​ Основные права субъекта персональных данных

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

·         подтверждение факта обработки персональных данных оператором;

·         правовые основания и цели обработки персональных данных;

·         цели и применяемые оператором способы обработки персональных данных;

·         наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

·         обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

·         сроки обработки персональных данных, в том числе сроки их хранения;

·         порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;

·         информацию об осуществленной или о предполагаемой трансграничной передаче данных;

·         наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

·         иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.

Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.2.​ Обязанности Организации

Организация обязана:

·         при сборе ПДн предоставить информацию об обработке его персональных данных;

·         в случаях если ПДн были получены не от субъекта ПДн уведомить субъекта;

·         при отказе в предоставлении ПДн субъекту разъясняются последствия такого отказа;

·         опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн;

·         принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;

давать ответы на запросы и обращения субъектов персональных данных, их представителей и уполномоченного органа по защите прав субъектов