ПОЛОЖЕНИЕ

об обработке и защите персональных данных работников

 

 

 

  1. Общие положения.

         Положение об обработке и защите персональных данных работников бюджетного учреждения здравоохранения Удмуртской Республики «Республиканская клиническая туберкулезная больница Министерства здравоохранения Удмуртской Республики» (далее по тексту - Положение) определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность должностных лиц бюджетного учреждения здравоохранения Удмуртской Республики «Республиканская клиническая туберкулезная больница Министерства здравоохранения Удмуртской Республики» (далее по тексту – Учреждение), имеющих доступ к персональным данным, за невыполнение норм, регулирующих обработку и защиту персональных данных.

  • Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым Кодексом Российской Федерации, Федеральным законом от 27 июля 2006 г. №152-ФЗ «О персональных данных», Федеральным законом от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации», Уставом Учреждения, должностными инструкциями и другими локальными нормативными актами Учреждения, а также другими нормативно-правовыми актами Российской Федерации, регламентирующими обработку и защиту персональных данных.
  • Действие настоящего Положения распространяется на всех работников Учреждения, работающих по трудовому или гражданско-правовому договору, осуществляющие деятельность по обработке и защите персональных данных.

                        2.Общие принципы и условия обработки персональных данных

пациентов и работников

бюджетного учреждения здравоохранения Удмуртской Республики

«Республиканская клиническая туберкулезная больница Министерства здравоохранения Удмуртской Республики»

      2.1. Обработка персональных данных пациентов и работников осуществляется на основе принципов:

      1) Обработка персональных данных должна осуществляться на законной и справедливой основе, должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

      2) Допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

      3) Обработке подлежат только персональные данные, которые отвечают целям их обработки.

     4) Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

     5) При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Учреждение-оператор должно принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

     6) Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом № 152-ФЗ. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законодательством.

      2.2. В целях обеспечения прав и свобод человека и гражданина, Учреждение-оператор при обработке персональных данных пациента или работника обязаны соблюдать следующие общие требования:

      1) Обработка персональных данных пациента может осуществляться исключительно в медицинских целях, в целях установления диагноза, оказания медицинских услуг, оформления договорных отношений с пациентом, при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну в соответствии с законодательством Российской Федерации в области персональных данных.

      2) Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законодательства Российской Федерации в области персональных данных и иных нормативных правовых актов с учетом положений Федерального закона № 152-ФЗ «О персональных данных», оформления трудовых отношений, расчета и выдачи заработной платы или других доходов, налоговых и пенсионных отчислений, содействия работникам в трудоустройстве, обучении, повышении квалификации и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы, обеспечения сохранности имущества работодателя в соответствии с законодательством Российской Федерации в области персональных данных.

      3) Все персональные данные пациента следует получать у него самого или у его законного представителя.

           Если персональные данные пациента или работника, возможно, получить только у третьей стороны, то пациент или работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

      4) Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении пациента и работника или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ.

      5)  Учреждение-оператор обязано рассмотреть возражение в течение тридцати дней со дня его получения и уведомить пациента и работника о результатах рассмотрения такого возражения.

     6) Защита персональных данных пациентов и работников от неправомерного их использования или утраты должна быть обеспечена Учреждением - оператором в порядке, установленном Федеральным законодательством и другими нормативными документами.

      7) Работники должны быть ознакомлены под личную подпись с документами Учреждения - оператора, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области. 

  1. Цели обработки и состав персональных данных работников.
    • Персональные данные работников Учреждения обрабатываются в целях обеспечения кадровой работы, обучения и должностного роста, учета результатов исполнения работниками Учреждения должностных обязанностей, соблюдения дисциплины труда, обеспечения личной безопасности работников Учреждения, установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, сохранности принадлежащего им имущества.
    • В целях, указанных в пункте 3.1 настоящего Положения, обрабатываются следующие категории персональных данных работников Учреждения:
      • фамилия, имя, отчество (в том числе предыдущие фамилии, имена и (или) отчества, в случае их изменения);
      • число, месяц, год рождения;
      • место рождения;
      • информация о гражданстве (в том числе предыдущие гражданства, иные гражданства);
      • вид, серия, номер документа, удостоверяющего личность, наименование органа, выдавшего его, дата выдачи;
      • адрес места жительства (адрес регистрации, фактического проживания);
      • номер личного контактного телефона или сведения о других способах связи;
      • реквизиты страхового свидетельства обязательного пенсионного страхования;
      • идентификационный номер налогоплательщика;
      • реквизиты свидетельства государственной регистрации актов гражданского состояния;
      • сведения о заработной плате;
      • сведения об отчислениях во внебюджетные фонды;
      • информация о сумме удержанных налогов;
      • семейное положение и состав семьи;
      • сведения о трудовой деятельности;
      • сведения о воинском учете и реквизиты документов воинского учета;
      • сведения об образовании, в том числе о послевузовском профессиональном образовании (наименование и год окончания образовательного учреждения, наименование и реквизиты документа об образовании, квалификация, специальность по документу об образовании);
      • сведения об ученой степени;
      • информация о владении иностранными языками, степень владения;
      • медицинское заключение по установленной форме;
      • сведения индивидуальной программы реабилитации;
      • сведения программы реабилитации пострадавшего;
      • фотография;
      • сведения о прежнем месте работы;
      • сведения о пребывании за границей;
      • государственные награды, иные награды и знаки отличия;
      • сведения о профессиональной переподготовке и (или) повышении квалификации;
      • иные персональные данные, необходимые для достижения целей, предусмотренных пунктом 3.1 настоящего Положения.

 

  1. Общие требования при обработке персональных данных работника.
    • Обработка персональных данных работников осуществляется Учреждением с использованием средств автоматизации, а также без использования таких средств (на бумажном носителе информации).
    • При определении объема и содержания обрабатываемых персональных данных работника работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым Кодексом Российской Федерации, иными нормативно-правовыми актами Российской Федерации и нормативно-правовыми актами Учреждения.
    • Работник Учреждения предоставляет работнику, ответственному за ведение кадровой работы достоверные сведения о себе. Работник, ответственный за ведение кадровой работы проверяет достоверность сведений, сверяя предоставленные данные с имеющимися документами;
    • Все персональные данные работника следует получать от него самого. Если персональные данные работника можно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
    • Учреждение не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации администрация учреждения вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
    • Учреждение не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Трудовым Кодексом Российской Федерации или иными федеральными законами.
    • Работники должны быть ознакомлены под расписку с документами Учреждения, устанавливающими порядок обработки персональных данных работника, а также об их правах и обязанностях в этой области.
    • С работниками, ответственными за работу с персональными данными в силу своих должностных обязанностей, заключается Соглашение-обязательство о неразглашении персональных данных (Приложение №1), экземпляр Соглашения-обязательства хранится в личном деле.
  1. Получение персональных данных пациентов Учреждения.

4.1. Получение персональных данных преимущественно осуществляется путем представления их самим пациентом (законным представителем пациента), на основании его письменного согласия, за исключением случаев, прямо предусмотренных действующим законодательством РФ.

В случаях, предусмотренных Федеральным законодательством, обработка персональных данных осуществляется только с согласия пациента (его законного представителя) в письменной форме. Равнозначным содержащему собственноручную подпись пациента согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с Федеральным законом № 152-ФЗ электронной подписью.

4.2. В целях, указанных в пункте 3.1 настоящего Положения, обрабатываются

следующие категории персональных данных пациентов Учреждения:

1) фамилия, имя, отчество,

2) пол,

3) год, месяц, дата и место рождения,

4) адрес места жительства и регистрации,

5) контактные телефоны,

6) реквизиты полиса ОМС (ДМС),

7) паспортные данные,

8) данные о состоянии здоровья, заболеваниях,

9) случаи обращения за медицинской помощью,

10) данные о составе семьи,

11) прочие сведения, которые могут идентифицировать человека.

4.3. Персональные данные пациентов относятся к специальной категории персональных данных. Обработка таких персональных данных должна осуществляться лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну. Персональные данные пациентов являются конфиденциальными сведениями

Согласно законодательству, обработка специальных категорий персональных данных пациентов должна осуществляться с письменного согласия субъекта персональных данных или его законного представителя (ст. 6, 9, 10 Закона № 152-ФЗ, ч. 3 ст. 13 Закона № 323-ФЗ).

Предоставление сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя допускается (ч. 4 ст. 13 ФЗ № 323-ФЗ):

- если пациент в результате своего состояния не способен выразить свою волю, но ему необходимо лечение;

- при    угрозе    распространения    инфекционных    заболеваний, массовых отравлений и поражений;

- по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органов прокуратуры в связи с осуществлением ими прокурорского надзора, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля за поведением условно осужденного, осужденного, в отношении которого отбывание наказания отсрочено, и лица, освобожденного условно-досрочно;

- в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий.

4.4. Персональные данные пациента могут быть предоставлены его законному представителю, а также родственникам или членам его семьи, иным представителям только с письменного разрешения самого пациента либо его законного представителя.

4.5. Оператор и иные лица, получившие доступ к персональным данным пациентов, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

4.6. Хранение персональных данных пациентов осуществляется форме, позволяющей их идентифицировать и должно происходить в порядке, исключающим их утрату или их неправомерное использование.

4.7. Срок хранения персональных данных пациентов определяется целью обработки персональных данных. По истечению срока хранения или утраты цели обработки персональные данные подлежат уничтожению, обезличиванию или передаче в архив.

  1. Доступ к персональным данным пациента и работника Учреждения.

      5.1. Право доступа к персональным данным имеют следующие должностные лица и работники, непосредственно использующие их при исполнении возложенных должностных обязанностей:

      1)   руководитель учреждения;

      2) заместители руководителя – к персональным данным сотрудников курируемых подразделений или принимаемых на работу в эти подразделения;

      3)   главный бухгалтер (с согласия руководителя или лица его заменяющего);

  • работники отдела кадрово-правового обеспечения, в должностных обязанностях

которых предусмотрено ведение работ с документами, содержащими персональные данные;

  • начальники и руководители структурных подразделений по направлению

деятельности – к персональным данным работников своего подразделения;

      6)  начальник юридического отдела;      

начальник и руководитель нового подразделения при переводе работника из одного структурного подразделения в другое;

  • работники планово-финансового отдела, ответственные за расчет заработной платы

работников Учреждения, кассовые операции, расчеты с подотчетными лицами;

  • работники отдела организационно методического отдела, в должностных

обязанностях которых предусмотрено ведение работ с базами данных, содержащими персональные данные;

  • Пациенты и работники – к своим персональным данным.
  • Уполномоченные лица имеют право получать только те персональные данные

работника, которые необходимы для выполнения конкретных функций в соответствии с должностной инструкцией указанных лиц.

      5.2. Получение сведений о персональных данных работников третьей стороной разрешается только при наличии заявления с указанием конкретных персональных данных и целей, для которых они будут использованы, а также письменного согласия работника, персональные данные которого затребованы.

      5.3. Не требуется согласие работника на передачу персональных данных, в объеме, предусмотренном законодательством Российской Федерации:

         Третьим лицам в целях предупреждения угрозы жизни и здоровью работника;

          Фонд социального страхования Российской Федерации;

          Пенсионный фонд Российской Федерации;

          Органы ИФНС;

          Военные комиссариаты;

          Министерство здравоохранения Удмуртской Республики (в ведении которого находится Учреждение);

          По запросу профессиональных союзов в целях контроля за соблюдением трудового законодательства работодателем;

          По мотивированному запросу органов прокуратуры;

          По мотивированному требованию правоохранительных органов и органов безопасности;

          По запросу государственных инспекторов труда и иных административных органов, осуществляющих контрольно-надзорную деятельность;

          Органам и организациям, которые должны быть уведомлены о тяжелом несчастном случае, в том числе со смертельным исходом. Перечень оповещаемых органов и сроки направления извещений о несчастном случае установлены ст. 228.1 ТК РФ;

           В случаях, связанных с исполнением работником должностных обязанностей, в том числе при направлении в командировку;

            Учреждениям (организации), в которые работник может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работников,  только в случае его письменного разрешения. 

 

  1. Состав и содержание мер по обеспечению безопасности персональных данных.

 

        6.1. Субъекты персональных данных - пациенты и работники Учреждения (их законные представители), передавая сведения о себе, вправе рассчитывать на соблюдение конфиденциальности при использовании данной информации в медицинской организации. Это подразумевает не только применение технических средств защиты (специальные сертифицированные программные и технические средства защиты информации), но и проведение комплекса организационных мероприятий, направленных на предотвращение потери, искажения и несанкционированного доступа к персональным данным, а именно:

1) назначены   лица, ответственные   за   организацию   обработки   и   обеспечение безопасности персональных данных;

2) разработано и внедрено Положение о защите персональных данных работников и пациентов;

3) лица, ведущие обработку персональных данных работников/пациентов, проинструктированы и ознакомлены с нормативными правовыми актами, регламентирующими порядок работы и защиты персональных данных;

4) в целях осуществления внутреннего контроля соответствия обработки персональных данных, установленным требованиям, проводятся периодические проверки условий обработки персональных данных;

5)  иные необходимые организационные и технические меры безопасности:

           Организационные меры по обеспечению безопасности персональных данных включают в себя:

            - ограничение доступа в помещения Учреждения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;

             - размещение рабочих мест, исключающее бесконтрольное использование защищаемой информации;

           - учет и хранение всех защищаемых носителей информации их обращение, исключающее хищение, подмену и уничтожение;

            - осуществление контроля за холлами и территорией Учреждения с помощью средств визуального наблюдения;

              - уничтожение персональных данных, цели обработки которых достигнуты и сроки обязательного хранения которых истекли;

              - своевременное выявление и устранение нарушений установленных требований по защите персональных данных;

              - проведение профилактической работы с работниками Учреждения, по предупреждению разглашения персональных данных;

             Технические меры по обеспечению безопасности персональных данных включают в себя:

             - идентификацию и проверку подлинности пользователя при входе в систему по идентификатору (логину) и паролю условно-постоянного действия;

             - регистрацию входа (выхода) пользователей в систему (из системы);

             - регистрация запуска (завершения) программ и процессов (заданий, задач), предназначенных для обработки персональных данных;

             - использование средств антивирусной защиты для предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов) и программных закладок;

              - создание канала связи, обеспечивающего защиту передаваемой информации;

              - межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационной системы;

              - централизованное управление системой защиты персональных данных информационной системы;

           6.2. Информация, относящаяся к персональным данным работника, хранится в бумажном и электронном виде. Бумажные носители хранятся в специально оборудованных сейфах или запираемых шкафах, обеспечивающих защиту от несанкционированного доступа.

            6.3. Контроль хранения и использования материальных носителей персональных данных, не допускающий несанкционированное использование, изменение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители структурных подразделений Учреждения.

 

  1. Ответственность за нарушение норм, регулирующих обработку

и защиту персональных данных работника.

 

      7.1. Руководитель, разрешающий доступ работника к документу, содержащему персональные данные, несет персональную ответственность за данное разрешение.

            7.2. Уполномоченный работник учреждения, получающий для работы документ, указанный в п.8.1., несет персональную ответственность за сохранность носителя и информации.

            7.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, привлекаются к дисциплинарной ответственности в порядке, установленном Трудовым кодексом Российской Федерации, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

            7.4. Работник, предоставляющий работодателю подложные документы или заведомо ложные сведения о себе, несет дисциплинарную ответственность, вплоть до увольнения, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

  1. Ф.И.О. __________________________________________________________________________

Адрес места регистрации (места жительства)__________________________________________

Документ удостоверяющий личность:

Серия_________________номер____________________кем выдан____________________________________________дата выдачи_____________________

  1. Наименование Оператора, адрес местонахождения -

БУЗ УР "Республиканская клиническая туберкулезная больница Министерства здравоохранения Удмуртской Республики", Удмуртская Республика, город Ижевск, шоссе Славянское, 0/1, телефон: (3412) 95-69-51.

  1. Цель обработки персональных данных - исполнение трудовых правоотношений согласно ТК РФ, выполнение мероприятий по мобилизационной подготовке и гражданской обороне, допуске к врачебной и профессиональной тайне, деятельности профсоюзной организации.
  2. Согласие дается на обработку следующих персональных данных:

-фамилии, имени, отчества, даты и места рождения, сведений об образовании, профессии, сведений о трудовом и общем стаже, семейном, социальном и имущественном положении, паспортных данных, сведениях о воинском учете, ИНН, пенсионном и медицинском страхо­вании, сведения о заработной плате работника, о социальных льготах, занимаемой долж­ности, адреса места жительства, домашнего и сотового телефонов, места работы или учебы членов семьи и родственников, содержание трудового договора, подлинники и копии приказов по личному составу, основания к приказам по личному составу, докумен­ты, содержащие информацию по повышению квалификации и переподготовки работника, аттестации, материалы служебных расследований, наличия судимостей.

  1. Согласие дается на совершение следующих действий с персональными данными:

       обработку вышеуказанных персональных данных путем неавтоматизированной, автоматизированной, смешанной обработки;

  • сбор, систематизацию, накопление, хранение, уточнение, использование в оформлении личного дела, в финансово-экономической деятельности;
  • передачи по внутренней сети оператора, строго определенным работникам;
  • передача на бумажных и магнитных носителях в Межрайонные ИФНС России, в банки согласно договоров о перечислении заработной платы работников, в ФОНД социального страхования по УР, в Удмуртское отделение пенсионного фонда РФ по УР, в военные комиссариаты районов, в страховые медицинские компании, осуществляющие ОМС и ДМС, Управление по УР по контролю за легальным оборотом наркотиков, Министерства здравоохранения УР, ГОУ ВПО Федерального агенства по здравоохранению и социальному развитию "Ижевская государственная медицинская академия", и другие ВУЗы РФ по постдипломной подготовки врачебных кадров, Удмуртская республиканская организация профсоюза работников здравоохранения РФ, Управление по лицензированию медицинской и фармацевтической деятельности при Правительстве УР, ГОУ "Республиканский центр повышения квалификации и профессиональной переподготовки специалистов здравоохранения УР", и другие образовательные учреждения РФ осуществляющие последипломную подготовку специалистов среднего медперсонала, ГОУ СПО "Ижевский медицинский колледж имени Героя Советского Союза Ф.А.Путиной", и другие медицинские училища УР и РФ, Правительство, органы государственной и муниципальной власти УР и РФ, Удмуртское отделение Фонда обязательного медицинского страховния и др.;
  • по запросам правоохранительных, надзорных и контролирующих органов.
  • публикация в общедоступных источниках (в средствах массовой информации -газеты, журналы, интернет и т.д.) персональных данных, необходимых для обеспечения деятельности Оператора
    • Данное согласие действует сроком до достижения целей обработки персональных данных. Данное согласие может быть отозвано на основании направленного в адрес оператора письменного заявления.

 

Ф.И.О._________________ПОДПИСЬ___________________ДАТА_____________________

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Яндекс.Метрика Рейтинг@Mail.ru www.izhevskinfo.ru