ПОЛОЖЕНИЕ

о порядке обработки и защиты персональных данных субъектов Государственного бюджетного учреждения Рязанской области

«Областной клинический онкологический диспансер».

 

УТВЕРЖДАЮ

Главный врач ГБУ РО ОКОД

 

 

____________________М.Е.Рязанцев

                    «28» декабря 2012г.

Приложение 1
к Приказу № 93

от 28. 12.2012

I. Общие положения и основные понятия

1.1. Настоящим Положением определяется порядок получения и сбора, обработки, хранения, передачи и любого другого использования персональных данных субъектов (работников и пациентов) Государственного бюджетного учреждения Рязанской области «Областной клинический онкологический диспансер» (далее ГБУ РО ОКОД).

1.2. Цель настоящего Положения – обеспечение в соответствии с законодательством Российской Федерации обработки, хранения и защиты персональных данных работников и пациентов ГБУ РО ОКОД.

1.3. Настоящее Положение разработано в соответствии с Конституцией РФ, Трудовым кодексом РФ, Федеральным законом от 27.07.06 г. № 152-ФЗ «О персональных данных», Федеральным законом от 27.07.06 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 22.10.04 г. № 125-ФЗ «Об архивном деле в Российской Федерации», Федеральным законом от 21 ноября 2011 г. N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», Постановлением правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», другими нормативно-правовыми актами.

1.4. В настоящем Положении используются следующие термины и определения:

Оператор персональных данных (далее оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. В рамках настоящего положения оператором является ГБУ РО ОКОД.

Субъект персональных данных (далее субъект) – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных. В рамках настоящего положения субъектами являются  работникии пациенты ГБУ РО ОКОД.

Персональные данные (ПД) – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПД), в том числе: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы и  другая информация, определяемая нормативно-правовыми актами Российской Федерации в области трудовых отношений и здравоохранения.

Обработка персональных данных – действия (операции) с персональными данными, включая учёт, в том числе в электронной базе данных, систематизацию, накопление, хранение, комбинирование, уточнение (обновление, изменение), использование, распространение (в том числе передачу другим организациям), обезличивание, блокирование, уничтожение персональных данных.

Защита персональных данных – деятельность уполномоченных лиц по обеспечению защиты персональных данных с помощью локального регулирования порядка обработки последних и обеспечение организационно-технических мер защиты информации в информационных системах персональных данных от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения.

Конфиденциальная информация – информация (в документированном или электронном виде), доступ к которой ограничивается в соответствии с законодательством РФ.

Конфиденциальность персональных данных – обязательное для соблюдения лицами, получившими доступ к персональным данным субъекта, требование не допускать их распространение без согласия субъекта или наличия иного законного основания.

Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц.

Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях:

- принятия управленческих решений в работе ГБУ РО ОКОД;

- организации оказания специализированной онкологической медицинской помощи;

- формирования регионального популяционного канцеррегистра онкологических больных для составления форм Государственной статистической отчётности при условии обязательного обезличивания;

- совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных, либо иным образом затрагивающих права и свободы субъекта персональных данных ГБУ РО ОКОД.

Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных – информационная система, представляющая совокупность персональных данных, содержащихся в электронных базах данных, а также совокупность информационных технологий и технических средств, позволяющих осуществить обработку персональных данных с использованием средств автоматизации или без использования таких средств.

 

II. Сбор и обработка персональных данных субъектов (работникови пациентов ГБУ РО ОКОД)

 

2.1. Сбор и обработка персональных данных осуществляется исключительно  с письменного согласия субъектов ПД (работников и пациентов ГБУ РО ОКОД). Форма заявления о согласии и отказе на обработку персональных данных субъектов прилагаются к настоящему положению (Приложения № 1, 2, 3);

2.2. В целях обеспечения прав и свобод человека и гражданина оператор и его представители при обработке персональных данных субъекта ПД обязаны соблюдать следующие общие требования:

2.2.1. Обработка персональных данных субъекта может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.

2.2.2. Оператор не имеет права получать и обрабатывать персональные данные субъекта, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений.

2.2.3. Оператор не имеет права получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности.

2.3. Персональные данные работника – это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Сведения, содержащие персональные данные работника, хранятся в электронных базах данных, на бумажных или электронных носителях в структурных подразделениях ГБУ РО ОКОД, откуда в соответствии с действующим законодательством поступают в архив ГБУ РО ОКОД для хранения.

2.3.1. Информация о персональных данных работника предоставляется оператору устно, письменно, на бумажном или электронном носителе. При поступлении на работу работник предоставляет специалистам  отдела кадров следующие  сведения и документы, содержащие персональные данные о себе:

-паспорт или иной документ, удостоверяющий личность;

-трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства;

- страховое свидетельство государственного или негосударственного пенсионного страхования;

-документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу;

-документ об образовании, о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки;

- анкетные данные (в том числе  - автобиография, сведения о семейном положении);

- иные документы, которые с учётом специфики работы и в соответствии с законодательством Российской Федерации должны быть предъявлены работником при заключении трудового договора или уже в период его действия.

2.3.2. При заключении трудового договора и в ходе трудовой деятельности может возникнуть необходимость в предоставлении работником и других документов:

-о возрасте детей;

-об инвалидности;

-о донорстве;

-о составе семьи;

-о необходимости ухода за больным членом семьи;

- о наличии иждивенцев;

- заявления, объяснительные и служебные записки работника;

- документы о систематическом прохождении работником аттестации, профессиональной переподготовке, повышении квалификации.

- иные документы, содержащие сведения о работнике.

2.3.3. После принятия решения о приеме работника на работу, а также впоследствии, в процессе трудовой деятельности, к документам, содержащим персональные данные субъекта, также будут относиться:

-трудовой договор;

- приказ о приеме на работу;

- личное дело;

-карточка унифицированной формы Т-2;

-приказы о поощрениях и взысканиях;

-другие документы.

2.4. К персональным данным Пациента относятся вся информация, предоставляемая оператору устно, письменно, на бумажном или электронном носителе, для заполнения оператором медицинских документов в целях проведения диагностики, лечения, осуществления диспансерного учёта и т.д.

 2.4.1. Информация о персональных данных пациента предоставляется оператору либо непосредственно самим пациентом или его законным представителем в устной или письменной форме, на бумажном или электронном носителе, либо путем обработки медицинских документов, поступающих из структурных подразделений ГБУ РО ОКОД, а также из других медицинских и немедицинских организаций.

2.4.2. При обращении в регистратуру поликлиники или в приемный покой стационара пациент предоставляет следующие документы, содержащие персональные данные о себе:

-паспорт или иной документ, удостоверяющий личность, гражданство;

-полис ОМС;

- страховой номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС);

- медицинские документы (справки об инвалидности, льготах, анализы, выписки и т.д.);

     2.4.3. Если персональные данные пациента можно получить только у третьей стороны, то он должен быть уведомлен об этом и от него должно быть получено письменное согласие (либо письменный отказ). В случае недееспособности пациента, согласие или отказ на обработку его персональных данных дает в письменной форме его законный представитель.

     2.4.4. На основе предоставленных пациентом документов оформляется медицинская карта амбулаторного больного или медицинская карта стационарного больного.

     2.4.5. После проведённого обследования и лечения медицинские карты передаются в организационно-методический отдел ГБУ РО ОКОД для обработки данных в целях ведения статистического учета, в том числе для ведения популяционного канцеррегистра онкологических заболеваний.

2.4.6. Медицинская карта стационарного больного в течение 6 месяцев хранится в организационно-методическом отделе, затем передаётся в архив ГБУ РО ОКОД. Медицинская карта амбулаторного больного хранится  в регистратуре пожизненно, затем передаётся в архив ГБУ РО ОКОД.

   2.5. В целях информационного обеспечения обработки ПД Оператором ПД могут создаваться общедоступные источники персональных данных (в том числе справочники, электронные базы).

   2.6. К числу операторов персональных данных, не относящихся к структурным подразделениям ГБУ РО ОКОД, относятся государственные и негосударственные функциональные структуры:

- министерство здравоохранения Рязанской области;

- Территориальный фонд обязательного медицинского страхования Рязанской области;

- государственные бюджетные учреждения здравоохранения Рязанской области и других субъектов Российской Федерации;

- налоговые инспекции;

- правоохранительные органы;

- страховые организации;

- военкоматы;

- органы социального страхования;

- пенсионные фонды;

- подразделения федеральных, областных и муниципальных органов управления и органов исполнительной и судебной власти.

      

 III. Хранение, передача и защита персональных данных субъектов персональных данных.

3.1. Персональные данные субъектов хранятся на бумажных и электронных носителях в отделе кадров, бухгалтерии, регистратуре, архиве, в организационно-методическом отделе ГБУ РО ОКОД либо другом структурном подразделении учреждения.

3.2. Персональные данные субъектов, обрабатываемые в ГБУ РО ОКОД, на бумажных и съемных электронных носителях хранятся в специально оборудованных шкафах для бумаг или в железных шкафах (сейфах).

3.3. При хранении материальных носителей, содержащих персональные данные, должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Ответственность за сохранность персональных данных  возлагаются на руководителей и работников структурных подразделений ГБУ РО ОКОД, осуществляющих обработку ПД.

3.4. По истечении сроков хранения, установленных законодательством РФ, документы, содержащие персональные данные, в том числе на электронных носителях, передаются из структурных подразделений ГБУ РО ОКОД в архив.  

3.5. Ответственность за сохранность документов, переданных в архив, несет архивариус.

3.6. Архивные документы выдаются только с разрешения главного врача либо его заместителя в служебных целях. Выдача документов регистрируется в журнале выдачи архивных документовс указанием названия документов, даты их выдачи и возврата, должности и ФИО получателя документов.

3.7. Документы, содержащие персональные данные, хранятся в архиве 75 лет и уничтожаются в порядке, предусмотренном действующим законодательством.

3.8. Передача персональных данных субъектов ПД между структурными подразделениями ГБУ РО ОКОД, а также в сторонние организации (органы исполнительной и судебной власти, внебюджетные фонды, налоговые инспекции и т.д.) осуществляется только в целях исполнения должностных (служебных) обязанностей на бумажном или электронном носителе, а также по защищенным каналам связи.

3.9. Недопустимо ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

       3.10. Работники ГБУ РО ОКОД,имеющие доступ к персональным данным, обязаны принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, модифицирования, блокирования, копирования, распространения, а также от иных неправомерных действий в отношении данной информации.

       3.11. Обеспечение безопасности персональных данных достигается, в частности:

- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных;

- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

- учетом машинных носителей персональных данных;

- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем (степенью) защищенности информационных систем персональных данных.

       3.12. При использовании сети Интернет Оператор ПД обязан принимать максимальные меры по обеспечению безопасности:

-установить и использовать антивирусное Программное Обеспечение (с обновлением баз вирусов);

- осуществлять передачу информации, содержащую ПД, только по защищенным каналам связи.

      3.13. Для обеспечения защиты персональных данных субъектов, обрабатываемых с использованием средств автоматизации, Оператор ПД должен руководствоваться действующим законодательством.

IV. Обязанности субъекта и оператора персональных данных.

4.1. В целях обеспечения достоверности персональных данных субъект обязан:

4.1.1. Предоставить оператору полные достоверные данные о себе.

4.1.2. В случае изменения сведений, составляющих персональные данные, субъект ПД незамедлительно должен предоставить данную информацию Оператору ПД.

4.2. Оператор обязан в соответствии с настоящим Положением и законодательством РФ:

     - обеспечить защиту персональных данных субъекта (работников и пациентов) от несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий;

     - ознакомить под роспись работников, имеющих доступ к персональным данным субъектов и выполняющих их обработку при исполнении должностных обязанностей, с настоящим Положением, а также с ответственностью за несоблюдение законодательства Российской Федерации, регулирующего вопросы обработки персональных данных (форма соглашения о неразглашении персональных данныхсубъекта - Приложение № 4);

     - предоставлять персональные данные субъекта только уполномоченным лицам, и только в той части, которая необходима им для выполнения их должностных обязанностей;

    - обеспечить субъекту свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные;

    - по требованию субъекта предоставить ему полную информацию о его персональных данных и их обработке.

V. Права субъектов персональных данных

5.1. В целях обеспечения защиты своих персональных данных, хранящихся у оператора, субъекты имеют право на:

5.1.1. Получение полной и безвозмездной информации об их персональных данных и обработке этих данных.

5.1.2. Свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные субъекта.

5.1.3. Определение своих представителей для защиты своих персональных данных.

5.1.4. Требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований законодательства Российской Федерации. При отказе оператора исключить или исправить персональные данные субъекта он имеет право заявить в письменной форме оператору о своем несогласии с соответствующим обоснованием такого несогласия.

5.1.5. Обжалование в суде любых неправомерных действий или бездействия оператора при обработке и защите его персональных данных.

 

VI. Контроль и надзор за обработкой персональных данных.

Ответственность за нарушение требований настоящего Положения.

 

6.1. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствие обработки персональных данных требованиям Федерального закона, является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи.

6.2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.

VII. Ответственность за нарушение норм, регулирующих сбор, хранение, обработку и защиту персональных данных субъектов.

 

       7.1. Доступ к персональным данным, обрабатываемым в ГБУ РО ОКОД имеют лица, занимающие следующие должности:

- главный врач;

­ заместитель главного врача по медицинской части;

­ заместитель главного врача по организационно-методической работе;

­ заместитель главного врача по экономическим вопросам;

­ заместитель главного врача по клинико-экспертной работе;

­ заместитель главного врача по хозяйственным вопросам;

­ специалист гражданской обороны;

­ главный бухгалтер;

­ работники отдела кадров;

­ работники бухгалтерии;

­ работники экономической службы;

­ работникирегистратуры поликлинического отделения;

­ работники приемного покоя;

­ инженер по охране труда;

­ инженеры-программисты;

­ председатель профсоюзного комитета;

­ архивариус;

­ руководители структурных подразделений;

­ врачи (провизоры);

­ средний медицинский (фармацевтический) персонал;

­ младший медицинский персонал;

­ юрисконсульты.

7.2. Ответственность за защиту персональных данных работников и пациентов в ГБУ РО ОКОД возлагается на лица, занимающие должности, указанные в п. 7.1.

7.3. Лица, виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных работника или пациента, привлекаются к дисциплинарной и материальной ответственности, а также к гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательством РФ.

 

VIII. Заключительные положения

8.1. Настоящее Положение вступает в силу с момента его утверждения главным врачом ГБУ РО ОКОД.

8.2. Настоящее Положение доводится до сведения всех работников ГБУ РО ОКОД, имеющих доступ к персональным данным работников и пациентов ГБУ РО ОКОД.

Приложение 1

Форма заявления

о согласии работникаГБУ РО ОКОД

на обработку персональных данных

СОГЛАСИЕ

работника ГБУ РО ОКОД на обработку персональных данных

 

 

Я, ____________________________________________________________________________

(фамилия, имя, отчество)

____________________________________________________________________________

(наименование должности, структурного подразделения)

(далее Субъект), разрешаю ГБУ РО «Областной клинический онкологический диспансер», в лице ответственных за обработку персональных данных должностных лиц (далее Оператору), обработку моих персональных данных.

Я проинформирован(а), что под обработкой персональных данных понимаются действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (изменение, обновление), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Я ознакомлен(а) с документами организации, устанавливающими порядок обработки персональных данных, а так же со своими правами и обязанностями в этой области.

«____»____________20___г.                                                   __________________/________________
                                                                                                                                                     Приложение 2

Форма заявления

о согласии пациента

на обработку персональных данных

 

Согласие пациента на обработку персональных данных

Я, __________________________________________________________________________,

(Ф.И.О. полностью)

проживающий по адресу_______________________________________________________ ,

(по месту регистрации)

телефон______________________________________________________________________,

паспорт ______________________________________________________________________,

(серия, номер, дата выдачи, кем выдан)

в соответствии с требованиями статьи 9 федерального закона от 27.07.2006 г. «О персональных данных» № 152-ФЗ, подтверждаю свое согласие на обработку ГБУ РО «Областной клинический онкологический диспансер» (далее – Оператор) моих персональных данных, включающих: фамилию, имя, отчество, пол, дату рождения, адрес проживания, контактный телефон, реквизиты полиса ОМС, страховой номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС), данные о состоянии моего здоровья, заболеваниях, случаях обращения за медицинской помощью, – в медико-профилактических целях, в целях установления медицинского диагноза и оказания медицинских услуг;

в процессе оказания Оператором мне медицинской помощи предоставляю право медицинским работникам передавать мои персональные данные, сведения, содержащие врачебную тайну, другим должностным лицам Оператора в интересах моего обследования и лечения;

предоставляю право Оператору осуществлять все действия (операции) с моими персональными данными, включая сбор, систематизацию, накопление, хранение, обновление, изменение, использование, обезличивание, блокирование, уничтожение.

Оператор вправе обрабатывать мои персональные данные посредством внесения их в электронную базу данных, включения в списки (реестры) и отчетные формы, предусмотренные документами, регламентирующими предоставление отчетных данных.

Оператор имеет право во исполнение своих должностных обязанностей на обмен (прием и передачу) моими персональными данными с медицинскими организациями, органами исполнительной власти, государственными структурами в порядке, установленном действующим законодательством, с использованием бумажных и электронных носителей или по каналам связи, с соблюдением мер, обеспечивающих их защиту от несанкционированного доступа.

Передача моих персональных данных иным лицам или иное их разглашение может осуществляться только с моего письменного согласия.

Настоящее согласие дано мной «___»________________ 20___г. и действует бессрочно.

Я оставляю за собой право отозвать свое согласие посредством составления соответствующего письменного документа, который может быть направлен мной в адрес Оператора по почте заказным письмом с уведомлением о вручении либо вручен лично под расписку представителю Оператора.

В случае получения моего письменного заявления об отзыве настоящего согласия на обработку персональных данных Оператор обязан прекратить их обработку в течение периода времени, необходимого для завершения оплаты оказанной мне до этого медицинской  помощи страховыми медицинскими организациями.

____________________
                                                                                                                

Приложение 3

Форма заявления

об отказе на обработку

персональных данных

Заявление

Я работник/пациент (подчеркнуть) ГБУ РО ОКОД ______________________________________

(Ф.И.О. полностью)

__________________________________________________________________________________

Прошу  прекратить  обработку  моих  персональных  данных в  связи с _______________________________________________________________________________________________________________________________

    "___" __________ 20___ г.                                                 ____________        ___________________

                                                                                              (подпись)      (расшифровка подписи)


                             Приложение 4

СОГЛАШЕНИЕ

о неразглашении персональных данных субъекта

Я, __________________________________________________________

(фамилия, имя, отчество)

_________________________________________________________________________

(наименование должности, структурного подразделения)

понимаю, что получаю доступ  к  персональным данным работников и/или пациентов Государственного бюджетного учреждения Рязанской области «Областной клинический онкологический диспансер», также понимаю, что во время исполнения  своих  обязанностей,  мне  приходится  заниматься  сбором,  обработкой  и  хранением   персональных данных.

Я понимаю, что разглашение такого  рода  информации  может  нанести ущерб субъектам персональных данных, как прямой, так и косвенный. В связи с этим даю обязательство при работе  (сбор,   обработка и  хранение) с персональными данными соблюдать все требования, описанные  в  Положении о порядке получения и сбора, обработке, хранении, передачи и любого другого использования и защите персональных данных субъектов (сотрудников и пациентов) Государственного бюджетного учреждения Рязанской области «Областной клинический онкологический диспансер».

Я предупрежден(а) о том, что лица виновные в нарушении положений законодательства Российской Федерации в области персональных данных при обработке персональных данных работника или пациента, привлекаются к дисциплинарной и материальной ответственности, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном действующим законодательством. 

 "___"__________20__ г.                                                                   _____________________

                                                                                                                     (подпись)