Положение о персональных данных

  • Федеральный закон  от 29.07.2006г. № 149-ФЗ «Об информатизации, информационных технологиях и о защите информации»;

  • Приказ ФСТЭК России, ФСБ России, Мининформсвязи России от 13.02.2008г. № 55/86/20 «Об утверждении Порядка проведения классификации информационных систем персональных данных»

  • Основы законодательства Российской Федерации об охране здоровья граждан" N 5487-1 от 22.07.1993 (в редакции от 18.10.2007г. N 230-Ф3)

  • Кодекс РФ об административных правонарушениях;

  • Указ Президента РФ № 188 от 06.09.1997г. «Об утверждении перечня сведений конфиденциального характера».

 

2. Понятие и состав персональных данных

В настоящем Положении в соответствии со статьей 3 Федерального закона от 27 июля 2006г. № 152-ФЗ «О персональных данных» используются следующие основные понятия:

персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая ГБУЗ ПК «ССМП г. Соликамска» в связи с трудовыми отношениями и касающаяся конкретного сотрудника или пациента, а также сведения о фактах, событиях и обстоятельствах жизни, позволяющие идентифицировать его личность.

оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;

распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;

использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;

блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;

уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;

обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;

информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;

конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;

трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;

общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

К персональным данным относятся:

  • все биографические сведения сотрудника и пациента

  • образование;

  • специальность;

  • занимаемая должность;

  • наличие судимостей;

  • адрес местожительства;

  • домашний телефон;

  • состав семьи;

  • место работы или учебы членов семьи и родственников;

  • характер взаимоотношений в семье;

  • размер заработной платы;

  • содержание трудового договора;

  • состав декларируемых сведений о наличии материальных ценностей;

  • содержание декларации, подаваемой в налоговую инспекцию;

  • подлинники и копии приказов по личному составу;

  • личные дела, личные карточки (форма Т - 2) и трудовые книжки сотрудников;

  • основания к приказам по личному составу;

  • дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;

  • копии отчетов, направляемые в органы статистики;

  • анкета;

  • копии документов об образовании;

  • результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей;

  • фотографии и иные сведения, относящиеся к персональным данным сотрудника;

  • истории болезни;

  • сведения о медицинских  обследованиях.

 

Указанные документы являются конфиденциальными, хотя, учитывая их массовость и единое место обработки и хранения - соответствующий гриф ограничения на них не ставится.

Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75 лет срока хранения, если иное не определено законом.

Документы,  содержащие  персональные  данные, подлежат хранению   и   уничтожению  в  порядке,  предусмотренном  архивным законодательством Российской Федерации.

 

Собственником информационных ресурсов (персональных данных) – является субъект, в полном объеме реализующий полномочия владения, пользования, распоряжения этими ресурсами. Это любой гражданин, к личности которого относятся соответствующие персональные данные, и который вступил (стал сотрудником) или изъявил желание вступить в трудовые отношения с работодателем, либо другие правоотношения.

Субъект персональных данных самостоятельно решает вопрос передачи работодателю своих персональных данных.

Держателем персональных данных является ГБУЗ ПК «ССМП г. Соликамска», которому гражданин  добровольно передает свои персональные данные. ГБУЗ ПК «ССМП г. Соликамска» выполняет функцию владения этими данными и обладает полномочиями распоряжения ими в пределах, установленных законодательством.

Права и обязанности работодателя в трудовых отношениях осуществляются физическим лицом, уполномоченным работодателем. Указанные права и обязанности он может делегировать нижестоящим руководителям – своим заместителям, руководителям структурных подразделений, работа которых требует знания персональных данных работников или связана с обработкой этих данных.

Потребителями  персональных данных являются юридические и физические лица, обращающиеся к держателю персональных данных за получением необходимых сведений и пользующиеся ими без права передачи и разглашения.

 

3. Обработка персональных данных и гарантии их защиты

Обработка персональных данных включает в себя их получение, хранение, комбинирование, передачу, а также актуализацию, блокирование, защиту, уничтожение.

При обработке персональных данных граждан операторы обязаны соблюдать следующие требования:

  1. Получение, хранение, комбинирование, передача или любое другое использование персональных данных сотрудника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности сотрудников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

  2. Все персональные данные гражданина  получаются у него самого. Если персональные данные гражданина возможно получить только у третьей стороны, то гражданин должен быть уведомлен об этом заранее, и от него должно быть получено письменное согласие. ГБУЗ ПК «ССМП г. Соликамска» должно сообщить гражданину о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа сотрудника дать письменное согласие на их получение.

  3. Не допускается получение и обработка персональных данных гражданина о его политических, религиозных и иных убеждениях и частной жизни, а также о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных законодательством РФ.

  4. При принятии решений, затрагивающих интересы гражданина, запрещается основываться на персональных данных гражданина, полученных исключительно в результате их  автоматизированной обработки или с использованием электронных носителей.

  5. Обеспечение конфиденциальности персональных данных, за исключением случаев обезличивания персональных данных и в отношении общедоступных персональных данных;

  6. В случае выявления недостоверных персональных данных гражданина или неправомерных действий с ними оператора при обращении или по запросу гражданина, являющегося субъектом персональных данных, или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему гражданину, с момента такого обращения или получения такого запроса на период проверки;

  7. В случае подтверждения факта недостоверности персональных данных гражданина оператор на основании документов, представленных гражданином, являющимся субъектом персональных данных, или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование;

  8. Хранение персональных данных должно осуществляться в форме, позволяющей определить гражданина, являющегося субъектом персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

 

В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст.24 Конституции РФ возможно получение и обработка данных о частной жизни гражданина только с его письменного согласия.

Пакет анкетно-биографических и характеризующих материалов (далее пакет) сотрудника формируется после издания приказа о его приеме на работу. Пакет обязательно содержит личную карточку формы Т-2, а также может содержать документы, содержащие персональные данные сотрудника, в порядке, отражающем процесс приема на работу.

Все документы хранятся в папках в алфавитном порядке фамилий сотрудников.

Пакет пополняется на протяжении всей трудовой деятельности сотрудника в данной организации. Изменения, вносимые в карточку Т-2, должны быть подтверждены соответствующими документами (например, копия свидетельства о браке, копия свидетельства о рождении детей).

Начальник отдела кадров, ответственный за документационное обеспечение кадровой деятельности, принимает от принимаемого на работу сотрудника документы, проверяет полноту их заполнения и правильность указываемых сведений в соответствии с предъявленными документами.

При обработке персональных данных сотрудников работодатель в лице главного врача вправе определять способы обработки, документирования, хранения и защиты персональных данных сотрудников ГБУЗ ПК «ССМП г. Соликамска» на базе современных информационных технологий осуществляемые в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

Сотрудник ГБУЗ ПК «ССМП г. Соликамска» обязан:

  • передавать работодателю или его представителю комплекс достоверных, документированных персональных данных, состав которых установлен Трудовым кодексом РФ;

  • своевременно сообщать работодателю об изменении своих персональных данных.

 

Сотрудник или пациент ГБУЗ ПК «ССМП г. Соликамска» имеет право на:

  • полную информацию о своих персональных данных и обработке этих данных;

  • свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных законодательством РФ;

  • определение своих представителей для защиты своих персональных данных;

  • доступ к относящимся к нему медицинским данным с помощью медицинского специалиста;

  • требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований;

  • при отказе оператора  исключить или исправить персональные данные гражданина заявить в письменной форме оператору о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера гражданин имеет право дополнить заявлением, выражающим его собственную точку зрения;

  • требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные сотрудника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

  • обжалование в суд любых неправомерных действий или бездействия оператора при обработке и защите его персональных данных.

 

4. Защита персональных данных

Защита персональных данных представляет собой жестко регламентированный технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности ГБУЗ ПК «ССМП г. Соликамска».

Для защиты персональных данных сотрудников или пациентов  необходимо соблюдать ряд мер:

  • ограничение и регламентация состава сотрудников, функциональные обязанности которых требуют конфиденциальных знаний;

  • строгое избирательное и обоснованное распределение документов и информации между сотрудниками;

  • рациональное размещение рабочих мест сотрудников, при котором исключалось бы бесконтрольное использование защищаемой информации;

  • знание сотрудниками требований нормативно – методических документов по защите информации и сохранении тайны;

  • наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;

  • определение и регламентация состава сотрудников, имеющих право доступа (входа) в помещение, в котором находится вычислительная техника;

  • организация порядка уничтожения информации;

  • своевременное выявление нарушения требований разрешительной системы доступа сотрудниками подразделения;

  • воспитательная и разъяснительная работа с сотрудниками подразделения по предупреждению утраты ценных сведений при работе с конфиденциальными документами;

  • не допускается выдача личных дел сотрудников на рабочие места руководителей. Личные дела могут выдаваться на рабочие места только Главному врачу, и в исключительных случаях, по письменному разрешению Главного врача, руководителю структурного подразделения;

  • персональные компьютеры, в которых содержатся персональные данные, должны быть защищены паролями доступа;

  • своевременно обнаруживать факты несанкционированного доступа (НСД) к персональным данным;

  • не допускать воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;

  • осуществлять постоянный контроль за обеспечением уровня защищенности персональных данных.

 

5.   Доступ к персональным данным

Персональные данные добровольно передаются гражданином  непосредственно держателю этих данных и потребителям внутри ГБУЗ ПК «ССМП г. Соликамска» исключительно для обработки и использования в работе.

Внешний доступ:

К числу массовых потребителей персональных данных вне ГБУЗ ПК «ССМП г. Соликамска» относятся государственные и негосударственные функциональные структуры:

  • налоговые инспекции;

  • правоохранительные органы;

  • органы статистики;

  • страховые агентства;

  • военкоматы;

  • органы социального страхования;

  • пенсионные фонды;

  • подразделения муниципальных органов управления.

Внутренний доступ:

Внутри ГБУЗ ПК «ССМП г. Соликамска» к разряду потребителей персональных данных относятся сотрудники функциональных структурных подразделений, которым эти данные необходимы для выполнения должностных обязанностей:

  • отдела кадров;

  • бухгалтерия;

  • экономический отдел;

  • оперативный отдел;

  • руководители  структурных подразделений.

В отделе кадров  хранятся личные карточки сотрудников, работающих в настоящее время. Для этого используются специально оборудованные шкафы или сейфы, которые запираются. Личные карточки располагаются в алфавитном порядке.

После увольнения документы по личному составу передаются на хранение в  архив отдела кадров.

После обслуживания вызова персональные данные пациентов передаются на хранение в оперативный отел.

 

6.   Передача персональных данных

При передаче персональных данных работодатель должен соблюдать следующие требования:

Передача внешнему потребителю:

  • передача персональных данных от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных;

При передаче персональных данных потребителям (в том числе и в коммерческих целях) за пределы ГБУЗ ПК «ССМП г. Соликамска» работодатель не должен сообщать эти данные третьей стороне без письменного согласия сотрудника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью сотрудника или в случаях, установленных федеральным законом;

  • Трансграничная передача персональных данных на территории иностранных государств осуществляется в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

  • Персональные данные сотрудника или пациента  могут быть предоставлены родственникам или членам его семьи только с письменного разрешения вышеуказанной категории лиц;

Ответы на правомерные письменные запросы других учреждений и организаций даются с разрешения Главного врача ГБУЗ ПК «ССМП г. Соликамска» и только в письменной форме и в том объеме, который позволяет не разглашать излишний объем персональных сведений;

  • Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу;

  • По возможности персональные данные обезличиваются.

  • Передача «внутреннему»  потребителю.

  •  Работодатель вправе разрешать доступ к персональным данным сотрудников и пациентов.  Потребители персональных данных должны подписать обязательство о неразглашении персональных данных сотрудников и пациентов.

  • В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, предоставленные субъектом персональных данных.

  • Сведения о субъекте персональных данных могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта персональных данных либо по решению суда или иных уполномоченных государственных органов.

 

7. Ответственность за разглашение конфиденциальной информации, связанной с персональными данными

Руководитель структурного подразделения, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность за данное разрешение.

Каждый сотрудник ГБУЗ ПК «ССМП г. Соликамска», получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) влечет дисциплинарную, административную, гражданско – правовую или уголовную ответственность граждан и юридических лиц.