Для увеличения размера текста, зажмитеклавишу Ctrl и покрутите колесико мышки от себя
Ctrl + 0 - возврат к нормальному отображению сайта
от__26.08.2016________
№__266п_____________
г. Барнаул
«Об утверждении Политики КГБУЗ Краевая клиническая больница в отношении обработки персональных данных»
Во исполнение требований Федерального закона от 27.07.2006 № 152 «О персональных данных», постановления Правительства Российской Федерации от 01.11.2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановления Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», а также иных нормативных документов по защите информации, ПРИКАЗЫВАЮ:
Главный врач В.А. Елыкомов
С приказом ознакомлен: ___________ /________________________/
(подпись) (ФИО) Приложение1
к приказу главного врача КГБУЗ Краевая клиническая больница
от _______________ № ________
Утверждаю главный врач КГБУЗ Краевая клиническая больница
____________/ Елыкомов В.А.
(подпись)
«___» _________________20 ___
ПОЛИТИКА в отношении обработки персональных данных в
КГБУЗ Краевая клиническая больница
Общие положения
КГБУЗ Краевая клиническая больница осуществляет свою деятельность в соответствии с действующим законодательством Российской Федерации по направлениям, обозначенным в полученных лицензиях на осуществление медицинской деятельности. Оказание медицинских услуг предполагает обработку и хранение персональных данных пациентов и работников. В соответствии с действующим законодательством наша организация выполнила комплекс технических и организационных мероприятий для обеспечения безопасности обрабатываемых и хранимых персональных данных.
Одна из приоритетных задач в работе организации - соблюдение действующего законодательства Российской Федерации в области информационной безопасности, а так же требований федерального закона от 27.06.2006 года №152-ФЗ «О персональных данных», основной целью которого является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Правовые основания обработки персональных данных
Политика Оператора в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами РФ:
Конституцией Российской Федерации;
Трудовым кодексом Российской Федерации;
Гражданским кодексом Российской Федерации;
Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Приказам ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Обработка персональных данных субъектов персональных данных осуществляется для решения следующих задач:
осуществление расчетов с ТФОМС и страховыми организациями за оказание медицинских услуг застрахованным;
формирование отчетов по Учреждению;
назначение и начисление счетов на оказание услуг и иных выплат;
бухгалтерский учет и контроль финансово-хозяйственной деятельности Оператора и исполнения финансовых обязательств по заключенным договорам;
обработка амбулаторных карт, медицинских карт стационарного больного (в т.ч. в электронной форме);
поддержание контактов с законными представителями субъекта персональных данных;
проведение лечебно-профилактических мероприятий;
ведение кадровой работы;
иные задачи, необходимые для повышения качества и эффективности деятельности Учреждения.
Принципы обработки персональных данных
При обработке персональных данных КГБУЗ Краевая клиническая больница придерживается следующих принципов:
соблюдение законности получения, обработки, хранения, а также других действий с персональными данными;
обработка персональных данных исключительно с целью исполнения своих обязательств по договору оказания услуг, а также по трудовому договору;
сбор только тех персональных данных, которые минимально необходимы для достижения заявленных целей обработки;
выполнение мер по обеспечению безопасности персональных данных при их обработке и хранении;
соблюдение прав субъекта персональных данных на доступ к его персональным данным;
соответствие сроков хранения персональных данных заявленным целям обработки.
Конфиденциальность персональных данных
Работники организации и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Состав персональных данных
В состав обрабатываемых в компании персональных данных субъектов могут входить:
фамилия, имя, отчество;
пол;
дата рождения или возраст;
паспортные данные;
адрес проживания;
номер телефона, факса, адрес электронной почты (по желанию);
информация о состоянии здоровья;
другая информация, необходимая для правильного проведения и интерпретации медицинских исследований;
результаты выполненных медицинских исследований;
другая информация, необходимая для выполнения обязательств организации в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях, законодательством об обязательных видах страхования, со страховым законодательством.
КГБУЗ Краевая клиническая больница осуществляет обработку данных о состоянии здоровья пациентов в целях оказания медицинских услуг, установления медицинского диагноза при этом обработка персональных данных осуществляется лицами, профессионально занимающимися медицинской деятельностью и обязанными в соответствии с законодательством Российской Федерации сохранять врачебную тайну.
КГБУЗ Краевая клиническая больница осуществляет обработку данных о состоянии здоровья работников организации в соответствии с трудовым законодательством Российской Федерации.
Сбор (получение) персональных данных
Персональные данные субъектов Учреждение получает только лично от субъекта или от его законного представителя. Персональные данные субъекта могут быть получены с его слов и не проверяются. Субъект дает письменное согласие на обработку персональных данных.
Обработка персональных данных
Обработка персональных данных в Учреждении происходит как неавтоматизированным, так и автоматизированным способом.
К обработке персональных данных в Учреждении допускаются только работники прошедшие определенную процедуру допуска, к которой относятся:
ознакомление работника с локальными нормативными актами организации (положения, инструкции и т.д.), строго регламентирующими порядок и процедуру работы с персональными данными;
взятие с работника обязательства о неразглашении в отношении персональных данных при работе с ними.
получение работником и использование в работе индивидуальных атрибутов доступа к информационным системам компании, содержащим в себе персональные данные. При этом каждому работнику выдаются минимально необходимые для исполнения трудовых обязанностей права на доступ в информационные системы.
Работники, имеющие доступ к персональным данным, получают только ту информацию, которая необходима им для выполнения конкретных трудовых функций.
Хранение персональных данных
Персональные данные субъектов хранятся в бумажном (амбулаторная карта, медицинская карта стационарного больного, статистическая карта стационарного больного, бланки направлений, результаты обследований и т.п.) и электронном виде. В электронном виде персональные данные субъектов хранятся в информационных системах персональных данных Учреждения, а также в архивных копиях баз данных этих систем. Порядок архивирования и сроки хранения архивных копий баз данных информационных систем персональных данных Учреждения определены в инструкции о резервном копировании, которая является обязательной для исполнения администраторами соответствующей системы.
При хранении персональных данных субъектов соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним. К ним относятся:
назначение работника, ответственного за тот или иной способ хранения персональных данных;
ограничение физического доступа к местам хранения и носителям;
учет всех информационных систем и материальных носителей, а также архивных копий.
Передача персональных данных третьим лицам
Передача персональных данных третьим лицам возможна в исключительных случаях только с согласия субъекта и только с целью исполнения обязанностей перед субъектом персональных данных в рамках оказания услуг, кроме случаев, когда такая обязанность у Учреждения наступает в результате требований федерального законодательства или при поступлении запроса от уполномоченных государственных органов. В данном случае Учреждение ограничивает передачу персональных данных запрошенным объемом.
Персональные данные пациента (в том числе результаты исследований) могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого пациента, за исключением случаев, когда передача персональных данных без его согласия допускается действующим законодательством РФ. В качестве такого разрешения могут выступать:
нотариально заверенная доверенность;
собственноручно написанная клиентом доверенность в присутствии работника КГБУЗ Краевая клиническая больница и им заверенная.
Сведения о третьих лицах, участвующих в обработке персональных данных
В целях соблюдения законодательства РФ, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных Оператор в ходе своей деятельности предоставляет персональные данные следующим организациям:
Федеральной налоговой службе;
Пенсионному фонду Российской Федерации;
Фонду медицинского страхования Алтайского края;
Страховым медицинским организациям.
Меры по обеспечению безопасности персональных данных при их обработке
Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:
назначением ответственных за организацию обработки персональных данных;
осуществлением внутреннего контроля и/или аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам;
ознакомлением работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных, и (или) обучением указанных работников;
определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;
учетом материальных носителей персональных данных;
выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер;
восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных;
применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
Права субъекта персональных данных
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
подтверждение факта обработки персональных данных;
правовые основания и цели обработки персональных данных;
применяемые способы обработки персональных данных;
сведения о лицах (за исключением работников организации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора или на основании федерального закона;
обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;
сроки обработки персональных данных, в том числе сроки их хранения;
порядок осуществления субъектом персональных данных своих прав;
наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению организации, если обработка поручена или будет поручена такому лицу.
Соответствующая информация предоставляется субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен быть составлен в соответствии с порядком обработки обращений субъектов персональных данных по вопросам обработки их персональных данных.
Порядок обработки обращений субъектов персональных данных по вопросам обработки их персональных данных в случае обращения либо получения Учреждением запроса субъекта персональных данных (или его законного представителя) по вопросам обработки персональных данных, такой запрос передается лицу, ответственному за организацию обработки персональных данных.
Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Учреждением (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Учреждением, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Учреждение отвечает на полученный запрос в течение 30 (тридцати) календарных дней со дня получения запроса Учреждением.
Сведения предоставляются субъекту персональных данных Учреждением в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
Сведения предоставляются субъекту персональных данных или его представителю Учреждением при обращении либо при получении запроса субъекта персональных данных или его представителя.
В случае, если сведения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в Учреждение или направить ему повторный запрос в целях получения сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
Субъект персональных данных вправе обратиться повторно в Учреждение или направить повторный запрос в целях получения сведений, касающихся его персональных данных, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного выше, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, касающимися его персональных данных, должен содержать обоснование направления повторного запроса.
Учреждение вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным данным Порядком. Такой отказ должен предоставляться Учреждением субъекту персональных данных с обоснованием причины отказа.
Субъект персональных данных вправе требовать от Учреждения уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Если субъект персональных данных считает, что Учреждение осуществляет обработку его персональных данных с нарушением требований федерального законодательства или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Учреждения в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
Заключительные положения
Настоящая Политика обработки персональных данных действует в отношении всей информации, которую КГБУЗ Краевая клиническая больница может получить о пользователе во время использования им сервисов официального сайта Учреждения. Использование сервисов сайта означает безоговорочное согласие пользователя с настоящей Политикой и указанными в ней условиями обработки его персональной информации; в случае несогласия с этими условиями пользователь должен воздержаться от использования сервисов сайта Учреждения.
Приложение 2
Кому (Должность, ФИО)
СОГЛАСИЕ
работника на обработку персональных данных
Я, _______________________________________________________________
(ф.и.о. работника)
зарегистрированный (ая) по адресу: __________________________________
_________________________________________________________________
паспорт серия _______ № _____________, выдан _______________________
_____________________ в соответствии со ст. 9 Федерального закона от 27.07.2006г. № 152-ФЗ «О защите персональных данных» даю согласие на обработку своих персональных данных КГБУЗ Краевая клиническая больница, расположенному по адресу: 656024, Алтайский край, г.Барнаул, ул.Ляпидевского 1, а именно: совершение действий, предусмотренных п. 3 ст. 3 Федерального закона № 152-ФЗ со всеми данными, которые находятся в распоряжении КГБУЗ Краевая клиническая больница с целью начисления заработной платы, исчисления и уплаты предусмотренных законодательством РФ налогов, сборов и взносов на обязательное социальное и пенсионное страхование, представления организацией-работодателем установленной законодательством отчетности в отношении физических лиц, в том числе сведений персонифицированного учета в Пенсионный фонд РФ, сведений подоходного налога в ФНС РФ, сведений в ФСС РФ, предоставлять сведения в банк для оформления банковской карты и перечисления заработной платы на карты, и третьим лицам для оформления полиса ДМС, а также предоставлять сведения в случаях, предусмотренных федеральными законами и иными нормативно-правовыми актами, следующих моих персональных данных:
1. Перечень персональных данных, на обработку которых дается согласие:
фамилия, имя, отчество (в т.ч. предыдущие),
паспортные данные или данные документа, удостоверяющего личность,
дата рождения, место рождения,
гражданство,
отношение к воинской обязанности и иные сведения военного билета и приписного удостоверения,
данные документов о профессиональном образовании, профессиональной переподготовки, повышении квалификации, стажировке,
данные документов о подтверждении специальных знаний,
данные документов о присвоении ученой степени, ученого звания, списки научных трудов и изобретений и сведения о наградах и званиях,
знание иностранных языков,
семейное положение и данные о составе и членах семьи,
сведения о социальных льготах, пенсионном обеспечении и страховании,
данные документов об инвалидности (при наличии),
данные медицинского заключения (при необходимости),
стаж работы и другие данные трудовой книжки и вкладыша к трудовой книжке,
должность, квалификационный уровень,
сведения о заработной плате (доходах), банковских счетах, картах,
адрес места жительства (по регистрации и фактический), дата регистрации по указанному месту жительства,
номер телефона (стационарный домашний, мобильный),
данные свидетельства о постановке на учет в налоговом органе физического лица по месту жительства на территории РФ (ИНН),
данные страхового свидетельства государственного пенсионного страхования,
данные страхового медицинского полиса обязательного страхования граждан.
2. Перечень действий, на совершение которых дается согласие:
Разрешаю Оператору (организации-работодателю) производить с моими персональными данными действия (операции), определенные статьей 3 Федерального закона от 27.07.2006 №152-ФЗ, а именно: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Обработка персональных данных может осуществляться как с использованием средств автоматизации, так и без их использования (на материальных носителях).
3. Согласие на передачу персональных данных третьим лицам:
Разрешаю обмен (прием, передачу, обработку) моих персональных данных между Оператором (организацией-работодателем) и третьими лицами в соответствии с заключенными договорами и соглашениями, в целях соблюдения моих законных прав и интересов.
4. Сроки обработки и хранения персональных данных:
Обработка персональных данных, прекращается по истечении семи лет после окончания трудового договора работника. В дальнейшем бумажные носители персональных данных находятся на архивном хранении (постоянно или 75 лет), а персональные данные работников на электронных носителях удаляются из информационной системы.
Согласие на обработку данных (полностью или частично) может быть отозвано субъектом персональных данных на основании его письменного заявления.
Права и обязанности в области защиты персональных данных мне разъяснены.
Настоящее согласие действует с «____» _________________г.
______________ /_________________ / «____»_______________г.
(подпись) (ФИО) (дата подписи)
Приложение 3
на обработку персональных данных
Я, нижеподписавшийся <Ф.И.О. полностью>, проживающий по адресу <по месту регистрации>, паспорт <серия и номер>, выдан <дата и название выдавшего органа>, в соответствии с требованиями статьи 9 федерального закона от 27.07.06 г. «О персональных данных» № 152-ФЗ, подтверждаю свое согласие на обработку КГБУЗ Краевая клиническая больница (далее — Оператор) моих персональных данных, включающих: фамилию, имя, отчество, пол, дату рождения, адрес места жительства, контактные телефон (ы), реквизиты полиса ОМС (ДМС), страховой номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС), данные о состоянии моего здоровья, заболеваниях, случаях обращения за медицинской помощью в медико-профилактических целях, в целях установления медицинского диагноза и оказания медицинских услуг при условии, что их обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну. В процессе оказания Оператором мне медицинской помощи я предоставляю право медицинским работникам, передавать мои персональные данные, содержащие сведения, составляющие врачебную тайну, другим должностным лицам Оператора, в интересах моего обследования и лечения.
Предоставляю Оператору право осуществлять все действия (операции) с моими персональными данными, включая сбор, систематизацию, накопление, хранение, обновление, изменение, использование, обезличивание, блокирование, уничтожение. Оператор вправе обрабатывать мои персональные данные посредством внесения их в электронную базу данных, включения в списки (реестры) и отчетные формы, предусмотренные документами, регламентирующими предоставление отчетных данных (документов) по ОМС (договором ДМС).
Оператор имеет право во исполнение своих обязательств по работе в системе ОМС (по договору ДМС) на обмен (прием и передачу) моими персональными данными со страховой медицинской организацией, выдавшей мне медицинский страховой полис, и территориальным фондом ОМС с использованием машинных носителей или по каналам связи, с соблюдением мер, обеспечивающих их защиту от несанкционированного доступа, при условии, что их прием и обработка будут осуществляется лицом, обязанным сохранять профессиональную тайну.
Срок хранения моих персональных данных соответствует сроку хранения первичных медицинских документов (медицинских карт стационарного и амбулаторного больного) и составляет двадцать пять лет.
Передача моих персональных данных иным лицам или иное их разглашение может осуществляться только с моего письменного согласия.
Настоящее согласие дано мной <дата> и действует бессрочно.
Я оставляю за собой право отозвать свое согласие посредством составления соответствующего письменного документа, который может быть направлен мной в адрес Оператора по почте заказным письмом с уведомлением о вручении либо вручен лично под расписку представителю Оператора.
В случае получения моего письменного заявления об отзыве настоящего согласия на обработку персональных данных, Оператор обязан прекратить их обработку в течение периода времени, необходимого для завершения взаиморасчетов по оплате оказанной мне до этого медицинской помощи.
Контактный телефон (ы) <…> и почтовый адрес <…>
Приложение 4
ЖУРНАЛ
регистрации обращений субъектов персональных данных
по вопросам обработки их персональных данных
№ п/п
ФИО субъекта
Дата обращения
Цель обращения