Если у вас имеются вопросы и/или предложения по работе нашего сайта, или вы не нашли интересующую вас информацию, заходите в раздел "Отзывы о работе сайта" и пишите нам!

Больше не показывать это сообщение

Положение о персональных данных в ГБУЗ НАО «Окртубдиспансер»

Приложение № 1 к приказу

государственного бюджетного учреждения здравоохранения Ненецкого автономного округа «Окружной противотуберкулезный диспансер» от 19.01.2015 № 9

«О защите персональных данных в

ГБУЗ НАО «Окртубдиспансер»

 

ПОЛОЖЕНИЕ

о персональных данных в ГБУЗ НАО «Окртубдиспансер»

 

1. Общие положения

 

1. Настоящие Положение разработано в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ), постановлением Правительства Российской Федерации от 15.08.2009 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации», постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами» и определяют содержание обрабатываемых персональных данных, цели обработки персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований, а также устанавливают процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, в ГБУЗ НАО «Окртубдиспансер» (далее – оператор, Учреждение).

2. В настоящем Положении о персональных данных в ГБУЗ НАО «Окртубдиспансер» (далее – Положение) используются следующие термины и определения:

– субъект персональных данных – работник учреждения, физические лица, обратившиеся в Учреждение, пациенты Учреждения;

– персональные данные – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в т.ч. его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

– оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

– пациенты (субъекты персональных данных) - физические лица, обратившиеся к Учреждению-оператору с целью получения медицинского обслуживания, либо состоящие в иных гражданско-правовых отношениях с Учреждением-оператором по вопросам получения медицинских услуг.

– работники (субъекты персональных данных) - физические лица, состоящие в трудовых и иных гражданско-правовых отношениях с Учреждением-оператором.

– обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т.ч. передачу), обезличивание, блокирование, уничтожение персональных данных.

3. Допускается привлекать для обработки персональных данных иные организации (уполномоченные лица) на основе договоров и соглашений, предусмотренных законодательством Российской Федерации.

4. Работники Учреждения допускаются к обработке персональных данных в объёме, необходимом для исполнения должностных обязанностей.

5. Учреждение обеспечивает неограниченный доступ к настоящему Положению путем размещения данного Положения на информационных стендах в отделе предоставления услуг.

 

2. Содержание обрабатываемых персональных данных

 

6. Перечни обрабатываемых персональных данных утверждаются оператором.

7. Информация о персональных данных может содержаться:

1) на бумажных носителях;

2) на электронных носителях;

3) в информационных системах персональных данных оператора;

4) на официальном сайте оператора в информационно-телекоммуникационной сети Интернет.

8. Оператором используются следующие способы обработки персональных данных:

1) без использования средств автоматизации;

2) смешанная обработка (с применением объектов вычислительной техники).

 

3. Цели обработки персональных данных

 

9. Целями обработки персональных данных оператором являются:

1) осуществление возложенных на оператора полномочий в соответствии с законодательством Российской Федерации, Ненецкого автономного округа, Уставом оператора;

2) организация учета работников оператора, для обеспечения соблюдения законодательства, содействия в трудоустройстве, обучении, продвижении по службе, пользования льготами в соответствии с законодательством Российской Федерации и Ненецкого автономном округа, Трудовым кодексом Российской Федерации.

10. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

 

4. Категории субъектов персональных данных

 

11. Категории субъектов, персональные данные которых подлежат обработке в информационных системах персональных данных оператора, определяются с целью обработки персональных данных в каждой информационной системе персональных данных.

12. К категориям субъектов персональных данных Оператора (далее – субъект персональных данных) относятся:

1) работники - физические лица, состоящие в трудовых и иных гражданско-правовых отношениях с Учреждением-оператором;

2) физические лица, обратившиеся к Учреждению-оператору с целью получения медицинского обслуживания, либо состоящие в иных гражданско-правовых отношениях с Учреждением-оператором по вопросам получения медицинских услуг.

3) персональные данные кандидатов на замещение вакантных должностей;

4 студенты, проходящие практику у оператора.

 

5. Порядок сбора и уточнения персональных данных

 

13. Сбор документов, содержащих персональные данные, осуществляется путем их приобщения к материалам личных дел субъектов персональных данных либо путем создания, в том числе копирования представленных оригиналов документов, внесения сведений в учетные формы (на бумажных и электронных носителях).

14. Уточнение персональных данных производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными. Уточнение персональных данных производится только на основании законно полученной в установленном законодательством порядке информации.

15. Субъект персональных данных свои персональные данные предоставляет самостоятельно либо через своего представителя. В случаях, предусмотренных законодательством, персональные данные также могут быть переданы оператору третьими лицами.

16. Обработка персональных данных осуществляется с согласия субъекта персональных данных на их обработку, составленного в письменном виде по типовой форме, утвержденной оператором. Согласие на обработку персональных данных подписывается субъектом персональных данных собственноручно либо его представителем. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

В случае если согласие на обработку персональных данных дается представителем субъекта персональных данных от лица субъекта персональных данных, оператор проверяет полномочия представителя.

Согласие на обработку персональных данных может быть отозвано субъектом персональных данных в порядке, предусмотренном законодательством.

17. При получении персональных данных от субъекта персональных данных или его представителя оператор:

1) разъясняет права, цели и порядок обработки персональных данных;

2) предлагает предоставить согласие на обработку персональных данных по типовой форме;

3) разъясняет последствия отказа предоставить персональные данные, передача которых в соответствии с законодательством является обязательной.

18. Перечень должностей работников оператора, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным, утверждается оператором (далее - уполномоченные лица).

В случае расторжения с уполномоченными лицами трудовых договоров они подписывают обязательство о прекращении обработки персональных данных, ставших известными им в связи с исполнением должностных обязанностей.

 

 

6. Порядок использования и хранения персональных данных

 

19. Общий срок использования персональных данных определяется периодом времени, в течение которого оператор осуществляет действия (операции) в отношении персональных данных, обусловленные заявленными целями их обработки.

20. Использование персональных данных осуществляется с момента их получения оператором и прекращается:

1) по достижении целей обработки персональных данных;

2) в связи с отсутствием необходимости в достижении заранее заявленных целей обработки персональных данных.

21. Использование персональных данных осуществляется при соблюдении принципа раздельности их обработки.

Персональные данные при их обработке обособляются от иной информации, в частности путем фиксации их в отдельных файлах, на отдельных материальных носителях.

22. Персональные данные могут храниться на бумажных (и иных материальных) носителях и (или) в электронном виде централизованно или в соответствующих структурных подразделениях оператора.

23. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

Сроки хранения персональных данных (материальных носителей) устанавливаются в соответствии с номенклатурой дел структурного подразделения оператора.

24. Документация, входящая в состав личных дел субъектов персональных данных хранятся в шкафах, в сейфах в кабинетах структурных подразделений оператора или в запираемом архивном помещении.

 

7. Уничтожение персональных данных

 

25. В случае достижения целей обработки персональных данных (утраты необходимости в их достижении) оператор обязан прекратить обработку персональных данных и уничтожить либо обезличить соответствующие персональные данные в срок, не превышающий 30 календарных дней с даты достижения целей обработки персональных данных (утраты необходимости в их достижении).

26. Персональные данные не уничтожаются (не обезличиваются) в случаях, если:

1) договором, соглашением стороной которого, выгодоприобретателем или поручителем является субъект персональных данных, предусмотрен иной порядок обработки персональных данных;

2) законодательством установлены сроки обязательного архивного хранения материальных носителей персональных данных;

3) в иных случаях, прямо предусмотренных законодательством.

27. Уничтожение части персональных данных, если это допускается материальным носителем, производится способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных персональных данных, зафиксированных на материальном носителе.

28. В случае выявления недостоверности персональных данных, неправомерности действий с персональными данными оператор осуществляет блокирование указанных персональных данных и в срок, не превышающий пяти рабочих дней с даты такого выявления, устраняет допущенные нарушения.

29. В случае подтверждения факта недостоверности персональных данных оператор уточняет персональные данные и снимает с них блокирование на основании документов, представленных:

– субъектом персональных данных (его представителем);

– уполномоченным органом по защите прав субъектов персональных данных;

– иными лицами, в соответствии с законодательством.

30. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерности действий с персональными данными, уничтожает персональные данные.

Об устранении допущенных нарушений или об уничтожении персональных данных оператор уведомляет субъекта персональных данных (его представителя) и (или) уполномоченный орган по защите прав субъектов персональных данных в срок, не превышающий десяти рабочих дней с даты устранения допущенных нарушений или уничтожения персональных данных.

31. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор прекращает обработку персональных данных и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные в срок, не превышающий тридцати рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено законодательством.

 

8. Обязанности уполномоченных лиц при обработке персональных данных

 

32. Уполномоченные лица обязаны:

– знать и выполнять требования законодательства в области обеспечения защиты персональных данных, настоящего Положения;

– хранить в тайне известные им персональные данные, информировать о фактах нарушения порядка обращения с персональными данными, о попытках несанкционированного доступа к ним;

– соблюдать правила использования персональных данных, порядок их учета и хранения, исключить доступ к ним посторонних лиц;

– обрабатывать только те персональные данные, к которым получен доступ в силу исполнения служебных обязанностей.

33. При обработке персональных данных уполномоченным лицам запрещается:

– использовать сведения, содержащие персональные данные, в неслужебных целях, а также в служебных целях – при ведении переговоров по телефонной сети, в открытой переписке, статьях и выступлениях;

– передавать персональные данные по незащищенным каналам связи (телетайп, факсимильная связь, электронная почта) без использования сертифицированных средств криптографической защиты информации;

– снимать копии с документов и других носителей информации, содержащих персональные данные, или производить выписки из них, а равно использовать различные технические средства (видео- и звукозаписывающую аппаратуру) для фиксации сведений, содержащих персональные данные;

– выполнять на дому работы, связанные с использованием персональных данных, выносить документы и другие носители информации, содержащие персональные данные, из места их хранения.

 

 

9. Права и обязанности субъекта персональных данных

 

34. Закрепление прав субъекта персональных данных, регламентирующих защиту его персональных данных, обеспечивает сохранность полной и точной информации о нем.

35. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

– подтверждение факта обработки персональных данных;

– правовые основания и цели обработки персональных данных;

– цели и применяемые оператором способы обработки персональных данных;

– наименование и место нахождения оператора, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

– обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

– сроки обработки персональных данных, в том числе сроки их хранения;

– порядок осуществления субъектом персональных данных прав, предусмотренных федеральным законом;

– информацию об осуществленной или о предполагаемой трансграничной передаче данных;

– информацию о лице, осуществляющем обработку персональных данных;

– иные сведения, предусмотренные федеральными законами.

36. Право субъекта персональных данных на доступ к его персональным данным ограничивается в соответствии с частью 8 статьи 14 Федерального закона № 152-ФЗ:

– обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

– обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

– обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

– доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

– обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

37. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

38. Сведения, указанные в пункте 35 настоящего Положения, должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

39. Если субъект персональных данных считает, что оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона               № 152-ФЗ или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.

40. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

41. Субъект персональных данных обязан:

– передавать оператору комплекс достоверных, документированных персональных данных, состав которых установлен законодательством;

– своевременно сообщать оператору об изменении своих персональных данных.

42. В целях защиты частной жизни, личной и семейной тайны субъекты персональных данных не должны отказываться от своего права на обработку персональных данных только с их согласия, поскольку это может повлечь причинение морального, материального вреда.

 

10. Ответственность уполномоченных лиц

 

40. Уполномоченные лица, виновные в нарушении требований законодательства о защите персональных данных, в том числе допустившие разглашение персональных данных, несут персональную гражданскую, уголовную, административную, дисциплинарную и иную, предусмотренную законодательством ответственность.

41. Текущий контроль за соблюдением требований законодательства при обработке персональных данных осуществляется оператором путем проведения проверок по соблюдению и исполнению законодательства о персональных данных.

42. Проверки выполнения требований законодательства при обработке персональных данных проводятся в соответствии с правилами осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.

 

 

 

_____________

 

 

 

Приложение № 2 к приказу

государственного бюджетного учреждения здравоохранения Ненецкого автономного округа «Окружной противотуберкулезный диспансер» от 19.01.2015 № 9

«О защите персональных данных в

ГБУЗ НАО «Окртубдиспансер»

 

 

 

ПРАВИЛА

рассмотрения запросов субъектов персональных данных

или их представителей, поступивших в ГБУЗ НАО «Окртубдиспансер»

 

1. Общие положения

 

1. Настоящие Правила разработаны в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон № 152-ФЗ), и определяют порядок организации работы по приему, регистрации и рассмотрению поступивших в ГБУЗ НАО «Окртубдиспансер» (далее – оператор) запросов субъектов персональных данных или их представителей (далее - запросы).

2. Целью настоящих Правил является упорядочение действий работников оператора при обращении либо при получении запросов.

 

2. Прием, регистрация и рассмотрение запросов

 

3. Сведения, касающиеся обработки персональных данных субъекта персональных данных, предоставляются оператором субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его представителя.

4. Запрос может быть подан одним из следующих способов:

а) лично;

б) письменно;

в) с использованием средств факсимильной связи или электронной связи, в том числе через официальный сайт оператора в информационно-телекоммуникационной сети «Интернет».

5. Информация об операторе, включая информацию о месте его нахождения, графике работы, контактных телефонах, а также о порядке обработки персональных данных размещается:

а) на стендах, расположенных в помещениях, занимаемых оператором;

б) на официальном сайте оператора в информационно-телекоммуникационной сети «Интернет».

6. Прием субъектов персональных данных или их представителей ведется работниками оператора, ответственными за прием и регистрацию обращений в соответствии с графиком приема.

7. При приеме субъект персональных данных или его представитель предъявляет документ, удостоверяющий его личность, а также документ, подтверждающий полномочия представителя (в случае обращения представителя).

8. Содержание устного обращения заносится в карточку личного приема.

В случае если изложенные в устном обращении факты и обстоятельства являются очевидными и не требуют дополнительной проверки, ответ с согласия субъекта персональных данных или его представителя может быть дан устно в ходе личного приема, о чем делается запись в карточке личного приема. В остальных случаях дается письменный ответ по существу поставленных в обращении вопросов.

9. В том случае, когда при личном приеме субъект персональных данных или его представитель изъявил желание получить ответ в письменной форме, работник оператора, ответственный за прием и регистрацию обращений, предлагает оформить письменный запрос и сообщает ему о сроках, в течение которых оператор обязан дать ответ на такой запрос в соответствии с федеральным законом.

В случае если в обращении содержатся вопросы, решение которых не входит в компетенцию оператора, субъекту персональных данных или его представителю дается разъяснение, куда и в каком порядке ему следует обратиться.

10. Запросы регистрируются в день их поступления к оператору.

Днем обращения считается дата регистрации запроса субъекта персональных данных или его представителя.

11. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

12. Рассмотрение запросов субъектов персональных данных или их представителей осуществляется работниками оператора, ответственными за их рассмотрение и подготовку ответов (далее – уполномоченные работники оператора).

13. При рассмотрении запросов обеспечивается:

а) объективное, всестороннее и своевременное рассмотрения запроса;

б) принятие мер, направленных на восстановление или защиту нарушенных прав, свобод и законных интересов субъектов персональных данных;

в) направление письменных ответов по существу запроса.

14. Запрос прочитывается, проверяется на повторность, при необходимости сверяется с находящейся в архиве предыдущей перепиской.

15. Оператор отказывает субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 статьи 14 Федерального закона № 152-ФЗ. Такой отказ должен быть мотивированным.

16. Оператор обязан сообщить субъекту персональных данных или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его представителя в течение десяти календарных дней с даты обращения субъекта персональных данных или его представителя.

17. В случае отказа в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя работники оператора обязаны дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона № 152-ФЗ или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий семи рабочих дней со дня обращения субъекта персональных данных или его представителя.

18. Оператор обязан предоставить безвозмездно субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных.

19. Запрос считается исполненным, если рассмотрены все поставленные в нем вопросы, приняты необходимые меры и даны исчерпывающие ответы.

 

3. Контроль за соблюдением порядка рассмотрения запросов

субъектов персональных данных или их представителей

 

20. Оператор осуществляет контроль за соблюдением установленного законодательством и настоящими Правилами порядка рассмотрения запросов.

21. Нарушение установленного порядка рассмотрения запросов влечет в отношении виновных работников оператора ответственность в соответствии с законодательством Российской Федерации.

 

 

_____________

 

 

 

 

 

 

КОНТАКТНАЯ ИНФОРМАЦИЯ