Приложение к приказу главного врача

от « 28 » декабря 2016 года № 283

Положение об обработке и защите персональных данных работников и пациентов  в

Федеральном государственном бюджетном учреждении здравоохранения

Поликлиника №1 Российской академии наук

 1. Общие положения

1.1.Основанием для разработки Положения об обработке и защите персональных данных работников и пациентов в Федеральном государственном бюджетном учреждении здравоохранения Поликлиника №1 Российской академии наук (далее — Положение) являются:

— Конституция РФ от 12 декабря 1993 г. (ст. 2, 17-24, 41);

— глава 14 (ст. 85-90) Трудового кодекса РФ;

— часть 1 и 2, часть 4 Гражданского кодекса РФ;

— Указ Президента РФ от 06 марта 1997 г. № 188 (ред. от 23 сентября 2005 г.) «Об утверждении перечня сведений конфиденциального характера»;

— Закон РФ от 28 июня 1991 г. № 1499-1 (ред. от 29 декабря 2006 г.) «О медицинском страховании граждан в Российской Федерации»;

— Федеральный закон от 08 января 1998 г. № 3-ФЗ «О наркотических и психотропных веществах»;

— Федеральный закон от 30 марта 1999 г. № 52-ФЗ «О санитарно-эпидемиологическом благополучии населения» (ред. от 30 декабря 2008 г.);

— Федеральный закон от 02 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;

— Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

— Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

— Федеральный закон Российской Федерации от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;

— Постановление Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;

— Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

— Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;

— Регламентирующие документы ФСТЭК России и ФСБ России об обеспечении безопасности персональных данных:

— Приказ ФСТЭК РФ № 55, ФСБ РФ № 86, Мининформсвязи РФ № 20 от 03 февраля 2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных» (Зарегистрировано в Минюсте РФ 03 апреля 2008 г. №11462);

— Приказ ФСТЭК РФ от 05 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (Зарегистрировано в Минюсте РФ 19 февраля 2010 г. № 16456);

— «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (утв. ФСТЭК РФ 14 февраля 2008 г.);

— «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (Выписка) (утв. ФСТЭК РФ 15 февраля 2008 г.)

1.2. Настоящее Положение определяет:

— правила обработки персональных данных, устанавливающие процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований;

— правила рассмотрения запросов субъектов персональных данных или их представителей;

— правила осуществления внутреннего контроля соответствия обработки персональных данных работников и пациентов Федерального государственного бюджетного учреждения здравоохранения Поликлиника № 1 Российской академии наук, требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» (Собрание законодательства Российской Федерации, 2006, № 31, ст.3451; 2009, № 48, ст.5716, № 52, ст.6439; 2010, № 27, ст.3407, № 31, ст.4173, ст.4196, № 49, ст.6409; 2011, № 23, ст.3263, № 31, ст.4701; 2013, № 14, ст.1651, № 30, ст.4038) (далее — Федеральный закон «О персональных данных») и принятыми в соответствии с ним нормативными правовыми актами;

— перечни персональных данных, обрабатываемых в связи с реализацией трудовых отношений, а также в связи с предоставлением государственных услуг.

1.3. Положение определяет деятельность Федерального государственного бюджетного учреждения здравоохранения Поликлиника № 1 Российской академии наук как оператора, осуществляющего обработку персональных данных работников и пациентов Федерального государственного бюджетного учреждения здравоохранения Поликлиника № 1 Российской академии наук, в отношении обработки и защиты персональных данных.

1.4. Обработка персональных данных в Федеральном государственном бюджетном учреждении здравоохранения Поликлиника №1 Российской академии наук осуществляется с соблюдением принципов и условий, предусмотренных Положением и законодательством Российской Федерации в сфере персональных данных.

1.5. Положение распространяется на обработку и защиту персональных данных в Федеральном государственном бюджетном учреждении здравоохранения Поликлиника №1 Российской академии наук.

  1. Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных.

2.1. Для выявления и предотвращения нарушений, предусмотренных законодательством Российской Федерации в сфере персональных данных, в Федеральном государственном бюджетном учреждении здравоохранения Поликлиника №1 Российской академии наук  используются следующие процедуры:

2.1.1. Осуществление внутреннего контроля соответствия обработки персональных данных работников и пациентов Федерального государственного бюджетного учреждения здравоохранения Поликлиника № 1 Российской академии наук  к требованиям к защите персональных данных;

2.1.2. Оценка вреда, который может быть причинен субъектам персональных данных;

2.1.3. Ознакомление работников, непосредственно осуществляющих обработку персональных данных, с законодательством Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, настоящим Положением и (или) обучение по соответствующим дополнительным профессиональным программам;

2.1.4. Осуществление обработки персональных данных в соответствии с принципами и условиями обработки персональных данных, установленными законодательством Российской Федерации в сфере персональных данных;

2.1.5. Недопущение объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

2.1.6. Обеспечение при обработке персональных данных работников и пациентов Федерального государственного бюджетного учреждения здравоохранения Поликлиника № 1 Российской академии наук точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных.

3. Цели обработки персональных данных

3.1. В Федеральном государственном бюджетном учреждении здравоохранения Поликлиника №1 Российской академии наук, персональные данные работников и пациентов Федерального государственного бюджетного учреждения здравоохранения Поликлиника № 1 Российской академии наук  могут обрабатываться для:

3.1.1. Осуществления статистических или иных исследовательских целей, за исключением целей, указанных в статье 15 Федерального закона «О персональных данных»;

3.1.2. Обеспечения доступа неограниченного круга лиц к общедоступным персональным данным, который предоставлен субъектом персональных данных либо по просьбе субъекта персональных данных;

3.1.3. Выполнения возложенных на Федеральное государственное бюджетное учреждение здравоохранения Поликлиника № 1 Российской академии наук функций и полномочий.

3.2. Обработка персональных данных работников и пациентов Федерального государственного бюджетного учреждения здравоохранения Поликлиника № 1 Российской академии наук  ограничивается достижением конкретных, заранее определенных и законных целей.

3.3. Обработка персональных данных работников и пациентов Федерального государственного бюджетного учреждения здравоохранения Поликлиника № 1 Российской академии наук , несовместимых с целями сбора персональных данных, указанными в пункте 3.1 Положения, не допускается.

3.4. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным в пункте 3.1 Положения целям обработки. Обрабатываемые персональные данные работников и пациентов Федерального государственного бюджетного учреждения здравоохранения Поликлиника № 1 Российской академии наук не должны быть избыточными по отношению к заявленным целям их обработки.

4. Условия и порядок обработки персональных данных работников Федерального государственного бюджетного учреждения здравоохранения Поликлиника №1 Российской академии наук

4.1. Персональные данные работников Федерального государственного бюджетного учреждения здравоохранения Поликлиника №1 Российской академии наук, граждан, претендующих на замещение должностей в Федеральном государственном бюджетном учреждении здравоохранения Поликлиника №1 Российской академии наук обрабатываются в целях осуществления кадровой работы, в том числе содействия работникам в осуществлении работы, формирования кадрового резерва, обучения и должностного роста, учета результатов исполнения должностных обязанностей, обеспечения работникам установленных законодательством Российской Федерации условий труда, гарантий и компенсаций, а также в целях противодействия коррупции.

4.2. В Федеральном государственном бюджетном учреждении здравоохранения Поликлиника №1 Российской академии наук обрабатываются следующие категории персональных данных:

4.2.1. Фамилия, имя, отчество, дата и место рождения, гражданство;

4.2.2. Прежние фамилия, имя, отчество, дата, место рождения (в случае изменения);

4.2.3. Владение иностранными языками и языками народов Российской Федерации;

4.2.4. Образование (когда и какие образовательные организации окончил, номера дипломов, направление подготовки или специальность по диплому, квалификация по диплому);

4.2.5. Выполняемая работа с начала трудовой деятельности (в том числе военная служба, работа по совместительству, предпринимательская деятельность);

4.2.6. Государственные награды, иные награды и знаки отличия (кем награжден и когда);

заявления работников (о принятии на работу, об увольнении и т.п.);

4.2.7. Адрес регистрации и фактического проживания, дата регистрации по месту жительства;

4.2.8.Вид, серия, номер документа, удостоверяющего личность на территории Российской Федерации, наименование органа, выдавшего его, дата выдачи;

4.2.9. Паспорт, удостоверяющий личность гражданина Российской Федерации за пределами Российской Федерации (серия, номер, кем и когда выдан);

4.2.10. Номер контактного телефона или сведения о других способах связи;

4.2.11. Отношение к воинской обязанности, сведения по воинскому учету (для граждан, пребывающих в запасе, и лиц, подлежащих призыву на военную службу);

4.2.12. Идентификационный номер налогоплательщика;

4.2.13. Номер страхового свидетельства обязательного пенсионного страхования;

4.2.14. Реквизиты полиса обязательного медицинского страхования;

4.2.15. Реквизиты свидетельств государственной регистрации актов гражданского состояния;

4.2.16. Наличие (отсутствие) судимости;

4.2.17. Допуск к государственной тайне, оформленный за период работы, службы, учебы (форма, номер и дата);

4.2.18.медицинское заключение о состоянии здоровья, медицинская справка о прохождении медицинских осмотров;

4.2.19. документы, содержащие сведения об оплате труда;

4.2.20. Иные персональные данные, необходимые для достижения целей, указанных в пункте 4.1 Положения.

4.3. Обработка персональных данных работников Федерального государственного бюджетного учреждения здравоохранения Поликлиника №1 Российской академии наук, граждан, претендующих на замещение должностей в Федеральном государственном бюджетном учреждении здравоохранения Поликлиника №1 Российской академии наук, осуществляется без их согласия в рамках целей, указанных в пункте 4.1 Положения, на основании пунктов 2, 3, 11 части 1 статьи 6 Федерального закона «О персональных данных».

4.5. Обработка персональных данных работников Федерального государственного бюджетного учреждения здравоохранения Поликлиника №1 Российской академии наук, граждан претендующих на замещение должностей в Федеральном государственном бюджетном учреждении здравоохранения Поликлиника №1 Российской академии наук осуществляется при условии получения согласия указанных лиц в следующих случаях:

4.5.1. При передаче (распространении, предоставлении) персональных данных третьим лицам в случаях, не предусмотренных законодательством Российской Федерации и трудовым законодательством;

4.5.2. При трансграничной передаче персональных данных;

4.5.3. При принятии решений, порождающих юридические последствия в отношении указанных лиц или иным образом затрагивающих их права и законные интересы, на основании исключительно автоматизированной обработки их персональных данных.

4.6. В случаях, предусмотренных пунктом 4.5 Положения, согласие субъекта персональных данных оформляется в письменной форме, если иное не установлено Федеральным законом «О персональных данных».

4.7. Обработка персональных данных работников Федерального государственного бюджетного учреждения здравоохранения Поликлиника №1 Российской академии наук, граждан, претендующих на замещение должностей в Федеральном государственном бюджетном учреждении здравоохранения Поликлиника №1 Российской академии наук, осуществляется уполномоченными соответствующими актами Федерального государственного бюджетного учреждения здравоохранения Поликлиника №1 Российской академии наук, (работниками) (далее — (работник)) и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

4.8. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных работников Федерального государственного бюджетного учреждения здравоохранения Поликлиника №1 Российской академии наук, граждан, претендующих на замещение должностей в Федеральном государственном бюджетном учреждении здравоохранения Поликлиника №1 Российской академии наук осуществляется путем:

4.8.1. Получения оригиналов необходимых документов (заявление, трудовая книжка, автобиография, иные документы, предоставляемые в кадровые подразделения);

4.8.2. Копирования оригиналов документов;

4.8.3. Внесения сведений в учетные формы;

4.8.4. Формирования персональных данных в ходе кадровой работы;

4.8.5. Внесения персональных данных в информационные системы (при наличии);

4.8.6. Получения персональных данных непосредственно от работников Федерального государственного бюджетного учреждения здравоохранения Поликлиника №1 Российской академии наук, граждан, претендующих на замещение должностей в Федеральном государственном бюджетном учреждении здравоохранения Поликлиника №1 Российской академии наук .

4.9. В случае возникновения необходимости получения персональных данных  работников Федерального государственного бюджетного учреждения здравоохранения Поликлиника №1 Российской академии наук, граждан, претендующих на замещение должностей в Федеральном государственном бюджетном учреждении здравоохранения Поликлиника №1 Российской академии наук у третьей стороны следует известить об этом работника Федерального государственного бюджетного учреждения здравоохранения Поликлиника №1 Российской академии наук, гражданина, претендующего на замещение должности в Федеральном государственном бюджетном учреждении здравоохранения Поликлиника №1 Российской академии наук или подведомственной организации, получить письменное согласие и сообщить о целях и способах получения персональных данных.

4.10. Запрещается получать, обрабатывать и приобщать к личному делу  работника Федерального государственного бюджетного учреждения здравоохранения Поликлиника №1 Российской академии наук персональные данные, не предусмотренные пунктом 4.2 Положения, в том числе касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни.

4.11. При сборе персональных данных уполномоченный работник Федерального государственного бюджетного учреждения здравоохранения Поликлиника №1 Российской академии наук, осуществляющий сбор /получение/ персональных данных непосредственно от работников Федерального государственного бюджетного учреждения здравоохранения Поликлиника №1 Российской академии наук, граждан, претендующих на замещение должностей в Федеральном государственном бюджетном учреждении здравоохранения Поликлиника №1 Российской академии наук обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить их персональные данные, если предоставление персональных данных является обязательным в соответствии с федеральным законом.

4.12. Передача (распространение, предоставление) и использование персональных данных работников Федерального государственного бюджетного учреждения здравоохранения Поликлиника №1 Российской академии наук, граждан, претендующих на замещение должностей в Федеральном государственном бюджетном учреждении здравоохранения Поликлиника №1 Российской академии наук, осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.

  1. Условия и порядок обработки персональных данных субъектов в связи с предоставлением государственных услуг и исполнением государственных функций

5.1. В Федеральном государственном бюджетном учреждении здравоохранения Поликлиника №1 Российской академии наук обработка персональных данных субъектов персональных данных может осуществляться в целях предоставления государственных услуг.

5.2. Персональные данные субъектов персональных данных, обратившихся в Федеральное государственное бюджетное учреждение здравоохранения Поликлиника №1 Российской академии наук лично, а также направивших индивидуальные или коллективные письменные обращения (запросы) или обращения (запросы) в форме электронного документа, обрабатываются в целях рассмотрения указанных обращений (запросов) с последующим уведомлением о результатах рассмотрения.

5.3. Обработка персональных данных, необходимых в связи с предоставлением государственных услуг осуществляется без согласия субъектов персональных данных в соответствии с пунктом 4 части 1 статьи 6 Федерального закона «О персональных данных».

5.4. Обработка персональных данных, необходимых в связи с предоставлением государственных услуг осуществляется уполномоченными сотрудниками Федерального государственного бюджетного учреждения здравоохранения Поликлиника №1 Российской академии наук (приложение №1 к настоящему положению» и включает в себя следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

5.5. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных субъектов, обратившихся в Федеральное государственное бюджетное учреждение здравоохранения Поликлиника №1 Российской академии наук для получения государственной услуги, осуществляется путем:

5.5.1. Получения оригиналов необходимых документов (заявление);

5.5.2. Заверения копий документов;

5.5.3. Внесения сведений в учетные формы (на бумажных и электронных носителях).

5.6. Сбор, запись, систематизация, накопление и уточнение (обновление, изменение) персональных данных осуществляется путем получения персональных данных непосредственно от субъектов персональных данных.

5.7. При сборе персональных данных уполномоченный работник Федерального государственного бюджетного учреждения здравоохранения Поликлиника №1 Российской академии наук, осуществляющий получение персональных данных непосредственно от субъектов персональных данных, обратившихся за предоставлением государственной услуги, обязан разъяснить указанным субъектам персональных данных юридические последствия отказа предоставить персональные данные.

5.8. Передача (распространение, предоставление) и использование персональных данных заявителей (субъектов персональных данных) Федеральным государственным бюджетным учреждением здравоохранения Поликлиника №1 Российской академии наук осуществляется лишь в случаях и в порядке, предусмотренных федеральными законами.

  1. Порядок обработки персональных данных субъектов персональных данных в информационных системах

6.1. Обработка персональных данных в информационных системах осуществляется после реализации организационных и технических мер по обеспечению безопасности персональных данных, определенных с учетом актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационных системах.

Обеспечение безопасности при обработке персональных данных, содержащихся в информационных системах осуществляется в соответствии с постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных, Требованиями о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах, утвержденными приказом ФСТЭК России от 11 февраля 2013 года № 17, Составом и содержанием организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденными приказом ФСТЭК России от 18 февраля 2013 года № 21.

6.2. Уполномоченному работнику Федерального государственного бюджетного учреждения здравоохранения Поликлиника №1 Российской академии наук, имеющему право осуществлять обработку персональных данных в информационных системах  уникальный логин и пароль для доступа к соответствующей информационной системе. Доступ предоставляется в соответствии с функциями, предусмотренными должностными обязанностями работников.

Информация может вноситься как в автоматическом режиме, при получении персональных данных с официального сайта Федерального государственного бюджетного учреждения здравоохранения Поликлиника №1 Российской академии наук в сети Интернет, так и в ручном режиме, при получении информации на бумажном носителе или в ином виде, не позволяющем осуществлять её автоматическую регистрацию.

6.3. Обеспечение безопасности персональных данных, обрабатываемых в информационных системах, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, а также принятия следующих мер по обеспечению безопасности:

6.3.1. Определение угроз безопасности персональных данных при их обработке в информационных системах;

6.3.2. Применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные законодательством Российской Федерации уровни защищенности персональных данных;

6.3.3. Применение прошедших в установленном порядке процедур оценки соответствия средств защиты информации;

6.3.4. Оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы;

6.3.5. Учет машинных носителей персональных данных;

6.3.6. Обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;

6.3.7. Восстановление персональных данных, модифицированных или удаленных, уничтоженных вследствие несанкционированного доступа к ним;

6.3.8. Установление правил доступа к персональным данным, обрабатываемым в информационных системах, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационных системах;

6.3.9. Контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровней защищенности информационных систем.

6.4. В случае выявления нарушений порядка обработки персональных данных уполномоченными работниками незамедлительно принимаются меры по установлению причин нарушений и их устранению.

6.5. Меры по обеспечению безопасности персональных данных принимаются для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

6.6. В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:

 идентификация и аутентификация субъектов доступа и объектов доступа;

управление доступом субъектов доступа к объектам доступа; ограничение программной среды; защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные; регистрация событий безопасности; антивирусная защита;

обнаружение (предотвращение) вторжений; контроль (анализ) защищенности персональных данных; обеспечение целостности информационной системы и персональных данных; обеспечение доступности персональных данных; защита среды виртуализации; защита технических средств; защита информационной системы, ее средств, систем связи и передачи данных;

выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных, и реагирование на них; управление конфигурацией информационной системы и системы защиты персональных данных.

6.7. Согласно пункту 6 Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012 года № 1119, под актуальными угрозами безопасности персональных данных понимается совокупность условий и факторов, создающих актуальную опасность несанкционированного, в том числе случайного, доступа к персональным данным при их обработке в информационной системе, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия. Угрозы 1-го типа актуальны для информационной системы, если для нее, в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.

Угрозы 2-го типа актуальны для информационной системы, если для нее, в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.

Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» Собрание законодательства Российской Федерации, 2006, № 31, ст.3451; 2009, № 48, ст.5716, № 52, ст.6439; 2010, № 27, ст.3407, № 31, ст.4173, № 31, ст.4196, № 49, ст.6409; 2011, № 23, ст.3263, № 31, ст.4701; 2013, № 14, ст.1651, № 30, ст.4038, № 51, ст.6683; 2014, № 23, ст.2927, № 30, ст.4217, № 30, ст.4243.

6.8. В соответствии с пунктом 11 статьи 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» под уровнем защищенности персональных данных понимается комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных. При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных.

6.8.1. Необходимость обеспечения 1-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает либо специальные категории персональных данных, либо биометрические персональные данные, либо иные категории персональных данных;

б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

6.8.2. Необходимость обеспечения 2-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 1-го типа и информационная система обрабатывает общедоступные персональные данные;

б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

в) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает биометрические персональные данные;

г) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

д) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

е) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

6.8.3. Необходимость обеспечения 3-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает общедоступные персональные данные сотрудников оператора или общедоступные персональные данные менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

б) для информационной системы актуальны угрозы 2-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

в) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает специальные категории персональных данных сотрудников оператора или специальные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора;

г) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает биометрические персональные данные;

д) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных более чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

6.8.4. Необходимость обеспечения 4-го уровня защищенности персональных данных при их обработке в информационной системе устанавливается при наличии хотя бы одного из следующих условий:

а) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает общедоступные персональные данные;

б) для информационной системы актуальны угрозы 3-го типа и информационная система обрабатывает иные категории персональных данных сотрудников оператора или иные категории персональных данных менее чем 100000 субъектов персональных данных, не являющихся сотрудниками оператора.

6.9. Состав и содержание мер по обеспечению безопасности персональных данных, необходимых для обеспечения каждого из уровней защищенности персональных данных, приведены в приложении к Составу и содержанию организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденными приказом ФСТЭК России от 18 февраля 2013 года № 21.

VII. Условия и порядок обработки персональных данных пациентов Федерального государственного бюджетного учреждения здравоохранения Поликлиника №1 Российской академии наук

7.1. Персональные данные пациентов относятся к категории конфиденциальной информации. Конфиденциальность, сохранность и защита персональных данных обеспечиваются отнесением их к сфере негосударственной (служебной, профессиональной) тайны.

 К персональным данным пациентов Федерального государственного бюджетного учреждения здравоохранения Поликлиника №1 Российской академии наук относится следующая информация

Фамилия, имя, отчество пациента;

Дата и место рождения пациента;

Место регистрации пациента;

Телефон пациента;

Номер страхового свидетельства обязательного пенсионного страхования пациента;

Реквизиты полиса обязательного медицинского страхования пациента;

Наименование страховой медицинской организации пациента;

 Информация о заболеваниях пациента;

 Информация о семейном положении пациента;

 Информация об образовании пациента;

Информация о занятости пациента;

 Информация об инвалидности (первичная, повторная, группа, дата);

 Информация о месте работы, о занимаемой должности;

Ряд индивидуальных параметров пациента;

Записи врачей-специалистов о состоянии здоровья пациента;

код по МКБ-10 заболеваний;

Диагноз пациента

Медицинская карта и амбулаторного больного (медицинская справка, результаты анализов, врачебно-консультативное заключение, протоколы заседания ВКК, пр.);

Договор на оказание платных медицинских услуг.

Доступ к персональным данным пациентов имеют следующие должностные лица МО, непосредственно использующие их в рамках выполнения своих должностных обязанностей:

главный врач;

заместители главного врача медицинского и немедицинского профиля;

главный бухгалтер;

сотрудники отдела статистики, непосредственно обрабатывающие персональные данные пациентов;

сотрудники регистратуры

сотрудники отдела маркетинга;

сотрудники бухгалтерии;

сотрудники отдела кадров;

сотрудники планово-экономического отдела;

сотрудники технического обеспечения;

врачебный персонал (заведующие отделениями, врачи);

средний медицинский персонал.

Перечень работников имеющих право осуществлять обработку персональных данных в информационных системах

VIII. Сроки обработки и хранения персональных данных

8.1. Сроки обработки и хранения персональных данных работников, пациентов Федерального государственного бюджетного учреждения здравоохранения Поликлиника №1 Российской академии наук, граждан, претендующих на замещение должностей в Федеральном государственном бюджетном учреждении здравоохранения Поликлиника №1 Российской академии наук определяются в соответствии с законодательством Российской Федерации.

С учетом положений законодательства Российской Федерации устанавливаются следующие сроки обработки и хранения персональных данных работников Федерального государственного бюджетного учреждения здравоохранения Поликлиника №1 Российской академии наук :

8.1.1. Персональные данные, содержащиеся в приказах по личному составу  работников Федерального государственного бюджетного учреждения здравоохранения Поликлиника №1 Российской академии наук (о приеме, о переводе, об увольнении, об установлении надбавок), подлежат хранению в соответствующих структурных подразделениях в течение 75 лет в порядке, предусмотренном законодательством Российской Федерации;

8.1.2. Персональные данные, содержащиеся в личных делах работников Федерального государственного бюджетного учреждения здравоохранения Поликлиника №1 Российской академии наук, а также личных карточках работников, Федерального государственного бюджетного учреждения здравоохранения Поликлиника №1 Российской академии наук хранятся в соответствующих структурных подразделениях в течение 75 лет в порядке, предусмотренном законодательством Российской Федерации;

8.1.3. Персональные данные, содержащиеся в приказах о поощрениях, материальной помощи работникам Федерального государственного бюджетного учреждения здравоохранения Поликлиника №1 Российской академии наук, подлежат хранению в течение 75 лет в порядке, предусмотренном законодательством Российской Федерации;

8.1.4. Персональные данные, содержащиеся в приказах о предоставлении отпусков, о краткосрочных внутрироссийских и зарубежных командировках, о дисциплинарных взысканиях  работников Федерального государственного бюджетного учреждения здравоохранения Поликлиника №1 Российской академии наук, подлежат хранению в соответствующих структурных подразделениях в течение пяти лет;

8.2. Сроки обработки и хранения персональных данных, предоставляемых субъектами персональных данных в Федеральное государственное бюджетное учреждение здравоохранения Поликлиника №1 Российской академии наук в связи с получением государственных услуг и исполнением государственных функций, указанных в пункте 8.1 Положения, определяются нормативными правовыми актами, регламентирующими порядок их сбора и обработки.

8.3. Персональные данные граждан, обратившихся в Федеральное государственное бюджетное учреждение здравоохранения Поликлиника №1 Российской академии наук лично, а также направивших индивидуальные или коллективные письменные обращения или обращения форме электронного документа, хранятся в течение пяти лет.

8.4. Персональные данные, предоставляемые субъектами на бумажном носителе в связи с предоставлением государственных услуг хранятся на бумажных носителях в структурных подразделениях Федерального государственного учреждения здравоохранения  Поликлиника №1 Российской академии наук, к полномочиям которых относится обработка персональных данных в связи с предоставлением государственной услуги, в соответствии с положениями о соответствующих структурных подразделениях.

8.5. Если сроки хранения персональных данных не установлены законодательством Российской Федерации, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, то обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели их обработки и хранения.

8.6. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на разных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

8.7. Уполномоченные должностные лица Федерального государственного учреждения здравоохранения Поликлиника №1 Российской академии наук обеспечивают раздельное хранение персональных данных на разных материальных носителях, обработка которых осуществляется в различных целях, определенных Положением.

8.8. Контроль за хранением и использованием материальных носителей персональных данных, не допускающий несанкционированное использование, уточнение, распространение и уничтожение персональных данных, находящихся на этих носителях, осуществляют руководители соответствующих структурных подразделений Федерального государственного учреждения здравоохранения Поликлиника №1 Российской академии наук.

8.9. Срок хранения персональных данных, внесенных в информационную систему, указанную в пункте.

8.10. Положения, должен соответствовать сроку хранения бумажных оригиналов.

9. Порядок уничтожения персональных данных при достижении целей обработки или при наступлении иных законных оснований

9.1. Структурным подразделением Федерального государственного учреждения здравоохранения  Поликлиника №1 Российской академии наук, ответственным за документооборот, осуществляется систематический контроль и выделение документов, содержащих персональные данные, с истёкшими сроками хранения, подлежащих уничтожению.

9.2. Вопрос об уничтожении выделенных документов, содержащих персональные данные, рассматривается на заседании экспертной (далее — ЭК), состав которой утверждается приказом Федерального государственного бюджетного учреждения здравоохранения  Поликлиника №1 Российской академии наук

По итогам заседания составляются протокол и акт о выделении к уничтожению документов с указанием уничтожаемых дел и их количества, проверяется их комплектность, акт подписывается председателем и членами ЭК Федерального государственного учреждения здравоохранения  Поликлиника №1 Российской академии наук и утверждается руководителем Федерального государственного бюджетного учреждения здравоохранения  Поликлиника №1 Российской академии наук

9.3. Должностное лицо Федерального государственного бюджетного учреждения здравоохранения  Поликлиника №1 Российской академии наук , ответственное за архивную деятельность, организует работу по уничтожению документов, содержащих персональные данные.

9.4. Уничтожение по окончании срока обработки персональных данных на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами и средствами гарантированного удаления остаточной информации.

9.5. По итогам уничтожения дел (на бумажном и (или) электронном носителях) в акт о выделении к уничтожению документов вносится соответствующая запись.

  1. Рассмотрение запросов субъектов персональных данных или их представителей

10.1. Работники Федерального государственного учреждения здравоохранения  Поликлиника №1 Российской академии наук, граждане, претендующие на замещение должностей в Федеральном государственном бюджетном учреждения здравоохранения  Поликлиника №1 Российской академии наук, а также граждане, персональные данные которых обрабатываются в Федеральном государственном бюджетном учреждения здравоохранении Поликлиника №1 Российской академии наук, в связи с предоставлением государственных услуг, имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:

10.1.1. Подтверждение факта обработки персональных данных;

10.1.2. Правовые основания и цели обработки персональных данных;

10.1.3. Применяемые способы обработки персональных данных;

10.1.4. Обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

10.1.5. Сроки обработки персональных данных, в том числе сроки их хранения;

10.1.6. Порядок осуществления субъектом персональных данных прав, предусмотренных законодательством Российской Федерации в области персональных данных;

10.1.7. Информацию об осуществленной или предполагаемой трансграничной передаче данных;

10.1.8. Наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению органа, если обработка поручена или будет поручена такой организации или лицу;

10.9 Иные сведения, предусмотренные законодательством Российской Федерации в области персональных данных.

10.2. Субъекты персональных данных, указанные в пункте 10.1 Положения, вправе требовать от Федерального государственного учреждения здравоохранения  Поликлиника №1 Российской академии наук, уточнения их персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

10.3. Сведения, указанные в подпунктах 10.1.1-10.1.10 пункта 10.1 Положения, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

10.4. Сведения, указанные в подпунктах 10.1.1-10.1.10 пункта 10.1 Положения, предоставляются субъекту персональных данных или его представителю уполномоченным должностным лицом структурного подразделения органа или подведомственной организации, осуществляющего обработку соответствующих персональных данных, при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать:

10.4.1. Номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;

10.4.2. Сведения, подтверждающие участие субъекта персональных данных в правоотношениях с органом или подведомственной организацией, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

10.5. В случае, если сведения, указанные в подпунктах 10.1.1-10.1.8 пункта 10.1 Положения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно в орган или подведомственную организацию или направить повторный запрос в целях получения указанных сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

10.6. Субъект персональных данных вправе обратиться повторно или направить повторный запрос в целях получения сведений, указанных в подпунктах 10.1.1-10.1.8 пункта 10.1 Положения, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в пункте 8.5 Положения, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 8.4 Положения, должен содержать обоснование направления повторного запроса.

10.7. организация вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктами 10.5 и 10.6 Положения с мотивированным указанием причин отказа.

10.8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе, если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

11. Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных

11.1. Целью осуществления внутреннего контроля соответствия обработки персональных данных в органах и подведомственных организациях требованиям к защите персональных данных (далее — внутренний контроль) является соблюдение в органах и подведомственных организациях законодательства Российской Федерации в области персональных данных, в том числе требований к защите персональных данных.

11.2. Внутренний контроль подразделяется на плановый и внеплановый.

11.3. Внутренний контроль осуществляется лицом, ответственным за организацию обработки персональных данных, либо комиссией, образуемой приказом органа или подведомственной организации, в состав которой входят: лицо, ответственное за организацию обработки персональных данных; лица, уполномоченные на обработку персональных данных.

11.4. Плановый внутренний контроль проводится на основании плана, утвержденного руководителем органа или подведомственной организации.

Периодичность планового внутреннего контроля — не реже одного раза в год.

Срок проведения планового внутреннего контроля составляет не менее 10 рабочих дней.

11.5. Внеплановый внутренний контроль проводится по решению лица, ответственного за организацию обработки персональных данных:

на основании поступившего в Федеральное государственное учреждение здравоохранения  Поликлиника №1 Российской академии наук, в письменной форме или в форме электронного документа заявления субъекта персональных данных о нарушении законодательства в области персональных данных, а также устного обращения;

в связи с проведением в Федеральном государственном учреждении здравоохранения  Поликлиника №1 Российской академии наук, государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных.

11.6. Внеплановый внутренний контроль должен быть завершен не позднее чем через месяц со дня принятия решения о его проведении.

11.7. Результаты внутреннего контроля оформляются в виде справки.

11.8. При выявлении в ходе внутреннего контроля нарушений в справке отражается перечень мероприятий по устранению выявленных нарушений и сроки их устранения.

11.9. О результатах внутреннего контроля и мерах, необходимых для устранения выявленных нарушений, руководителю органа или подведомственной организации докладывает лицо, ответственное за организацию обработки персональных данных.

11.10. В отношении персональных данных, ставших известными лицу, ответственному за организацию обработки персональных данных, или членам комиссии в ходе проведения внутреннего контроля, соблюдается конфиденциальность и обеспечивается безопасность при их обработке.

Поликлиника №1 Минобрнауки России © 1946-2023 | 18+ | Информация, представленная на сайте, не может быть использована для постановки диагноза, назначения лечения и не заменяет прием врача.