Политика обработки персональных данных в краевом государственном бюджетном учреждении здравоохранения «Краевая клиническая больница» имени профессора О.В. Владимирцева
- Общие положения
1.1. Основные понятия
Персональные данные (далее — ПДн) — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту ПДн).
Оператор ПДн (далее — Оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с ПДн.
Доступность информации – состояние информации (ресурсов информационной системы), при котором субъекты, имеющие права доступа, могут реализовать их беспрепятственно.
Информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств.
Информационная система персональных данных – это информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.
Конфиденциальность информации – состояние информации (ресурсов информационной системы), при котором доступ к ней осуществляют только субъекты, имеющие на него право.
Субъект персональных данных – физическое лицо, которое прямо или косвенно определено, или определяемо с помощью персональных данных.
ФСБ России – Федеральная служба безопасности.
ФСТЭК России – Федеральная служба по техническому и экспортному контролю.
Целостность информации – состояние защищенности информации, характеризуемое способностью обеспечивать сохранность и неизменность защищаемой информации при попытках несанкционированного или случайного воздействия на нее в процессе обработки или хранения.
Обработка ПДн – любое действие (операция) или совокупность действий (операций) с ПДн, совершаемых с использованием средств автоматизации или без их использования. Обработка ПДн включает в себя, в том числе:
1) сбор;
2) запись;
3) систематизацию;
4) накопление;
5) хранение;
6) уточнение (обновление, изменение)
7) извлечение;
8) использование;
9) передачу (распространение, предоставление, доступ);
10) обезличивание;
11) блокирование;
12) удаление;
13) уничтожение.
Автоматизированная обработка ПДн – обработка ПДн с использованием средств автоматизации.
Распространение ПДн – действия, направленные на раскрытие ПДн неопределенному кругу лиц.
Предоставление ПДн – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц.
Блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения персональных данных)
Уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители персональных данных.
Трансграничная передача ПДн – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.2 Сведения об операторе
Полное наименование оператора: краевое государственное бюджетное учреждение здравоохранения «Краевая клиническая больница» имени профессора О.В. Владимирцева (далее – Учреждение).
Юридический адрес оператора: 680030, г. Хабаровск, ул. Павловича, 1Б.
Фактический адрес Учреждения: 680030, г. Хабаровск, ул. Павловича, 1Б.
Телефон/факс: +7 (4212) 62-50-23.
Адрес электронной почты: kkb2_khv@mail.ru
Лицо, ответственное за организацию обработки ПДн – заместитель главного врача Учреждения.
1.3. Назначение и область действия политики ПДн
Настоящая Политика обработки ПДн в краевом государственном бюджетном учреждении здравоохранения «Краевая клиническая больница» имени профессора О.В. Владимирцева (далее – Политика) составлена в соответствии с п. 2 ст. 18.1 Федерального закона РФ «О персональных данных» от 27 июля 2006г. №152-ФЗ (далее – 152-ФЗ) и действует в отношении ПДн, которые краевое государственное бюджетное учреждение здравоохранения «Краевая клиническая больница» имени профессора О.В. Владимирцева (далее – Оператор), может получить от субъекта ПДн или из общедоступных источников, в рамках основной деятельности Оператора.
Настоящий документ определяет цели и общие принципы обработки ПДн, а также реализуемые меры защиты ПДн, обрабатываемых Оператором. Политика является общедоступным документом и предусматривает возможность ознакомления с ней любых лиц.
Политика разработана с целью обеспечения защиты прав и свобод субъекта ПДн при обработке его ПДн.
Политика действует бессрочно после утверждения и до ее замены новой редакцией.
Политика распространяется на ПДн, полученные как до, так и после утверждения настоящей Политики.
1.4. Основные права и обязанности Оператора
При сборе ПДн Оператор обязан предоставить субъекту ПДн по его просьбе следующую информацию:
1) подтверждение факта обработки ПДн Оператором;
2) правовые основания и цели обработки ПДн;
3) цели и применяемые Оператором способы обработки ПДн;
4) наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников Оператора), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании договора с Оператором или на основании федерального закона;
5) обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок представления таких данных не предусмотрен федеральными законами;
6) сроки обработки ПДн, в том числе сроки их хранения;
7) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
8) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению Оператора, если обработка поручена или будет поручена такому лицу;
9) иные сведения, предусмотренные федеральными законами.
Оператор освобождается от обязанности предоставить субъекту ПДн вышеуказанные сведения если:
1) субъект ПДн уведомлен об осуществлении обработки его ПДн соответствующим Оператором;
2) ПДн получены Оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект ПДн;
3) ПДн сделаны общедоступными субъектом ПДн или получены из общедоступного источника;
4) Оператор осуществляет обработку ПДн для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта ПДн;
5) предоставление субъекту ПДн вышеуказанных сведений нарушает права и законные интересы третьих лиц.
1.5. Основные права и обязанности субъекта ПДн
Субъект ПДн имеет право на получение сведений, указанных в части 7 статьи 14 №152-ФЗ от 27 июля 2017г. «О персональных данных» (далее – 152 – ФЗ), за исключением случаев, предусмотренных частью 8 статьи 14 152-ФЗ. Субъект ПДн вправе требовать от Оператора уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Сведения, указанные в части 7 статьи 14 152-ФЗ, должны быть предоставлены субъекту ПДн Оператором в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн.
Сведения, указанные в части 7 статьи 14, 152-ФЗ, предоставляются субъекту ПДн или его представителю Оператором при обращении либо при получении запроса субъекта ПДн или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта ПДн или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн Оператором, подпись субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
В случае, если сведения, указанные в части 7 статьи 14, 152-ФЗ, а также обрабатываемые ПДн были предоставлены для ознакомления субъекту ПДн по его запросу, субъект ПДн вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 статьи 14, 152-ФЗ, и ознакомления с такими ПДн не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн .
Субъект ПДн вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 статьи 14, 152-ФЗ, а также в целях ознакомления с обрабатываемыми ПДн до истечения тридцатидневного срока, в случае, если такие сведения и (или) обрабатываемые ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос должен содержать обоснование направления повторного запроса.
- Персональные данные, обрабатываемые Оператором
Оператор обрабатывает следующие категории субъектов ПДн:
ПДн штатных работников Оператора (далее — Сотрудники);
Персональные данные физических лиц, которым была оказана медицинская помощь в стационарных или амбулаторных условиях (далее — Пациенты);
Цели сбора и обработки персональных данных
ПДн обрабатываются Оператором в следующих целях:
- Оператор осуществляет обработку ПДн Сотрудников исключительно в целях обеспечения соблюдения законности, прав, гарантий, обязанностей и ответственности Сотрудников (оплата труда, медицинское страхование, обязательное государственное социальное страхование на случай заболевания или утраты трудоспособности, государственное пенсионное обеспечение, санаторно-курортное лечение, профессиональная подготовка, переподготовка и повышение квалификации, представление (согласование) к награждению государственными и ведомственными наградами), а также в целях противодействия коррупции;
- Оператор осуществляет обработку ПДн Пациентов исключительно в целях оказания специальной медицинской помощи в стационарных и амбулаторных условиях;
- Правовые основания обработки ПДн
Обработка ПДн осуществляется Оператором на законной справедливой основе, правовыми основаниями которой являются:
1) Конституция Российской Федерации;
2) Гражданский кодекс Российской Федерации
3) Гражданский процессуальный кодекс Российской Федерации
4) Налоговый кодекс Российской Федерации
5) Трудовой кодекс Российской Федерации
6) Федеральный закон от 12 января 1995г. №5-ФЗ «О ветеранах»;
7) Федеральный закон от 24 ноября 1995г. №181-ФЗ «О социальной защите инвалидов в Российской Федерации»;
8) Федеральный закон от 28 декабря 2013г. №442-ФЗ «Об основах социального обслуживания граждан в Российской Федерации»;
9) Федеральный закон от 01 апреля 1996 г. №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
10) Федеральный закон «Об обязательном социальном страховании от несчастных случаев на производстве и профессиональных заболеваний»;
11) Федеральный закон от 17 сентября 1998г. №157-ФЗ «Об иммунопрофилактике инфекционных болезней»;
12) Федеральный закон от 17 июля 1999 г. № 178-ФЗ «О государственной социальной помощи»;
13) Федеральный закон от 2 мая 2006г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
14) Федеральный закон от 27 июля 2006г. №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
15) Федеральный закон от 27 июля 2006г. № 152-ФЗ «О персональных данных»;
16) Федеральный закон от 29 ноября 2010 года № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
17) Федеральный закон от 27 июля 2010г. № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг»;
18) Федеральный закон от 21 ноября 2011 года № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
19) Федеральный закон от 21 ноября 2011г. №324-ФЗ «О бесплатной юридической помощи в Российской Федерации»;
20) Федеральный закон от 20 июля 2012г. №125-ФЗ «О донорстве крови и ее компонентов»;
21) постановление Правительства Российской Федерации от 15 сентября 2008г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
22) постановление Правительства Российской Федерации от 21 марта 2012г. №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
23) постановление Правительства Российской Федерации от 1 ноября 2012г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
24) постановление Правительства Российской Федерации от 5 апреля 2022г. №588 «О признании лица инвалидом»;
25) приказ министерства здравоохранения и социального развития Российской Федерации от 16 ноября 2004г. №195 «О порядке ведения федерального регистра лиц, имеющих право на получение государственной социальной помощи»;
26) постановление Государственного комитета Российской Федерации по статистике от 5 января 2004г. № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты»;
27) закон Хабаровского края от 26 марта 2003г. №107 «О дополнительных льготах Героям Социалистического Труда, Героям Труда Российской Федерации и полным кавалерам ордена Трудовой Славы, проживающим на территории Хабаровского края»;
28) закон Хабаровского края от 26 января 2005г. №254 «О мерах социальной поддержки граждан пожилого возраста, инвалидов, ветеранов труда, лиц, проработавших в тылу в период Великой Отечественной войны и иных категорий граждан»;
29) постановление Правительства Хабаровского края от 25 января 2008г. №19-пр «Об организации лекарственного обеспечения отдельных категорий граждан в Хабаровском крае» (пункт 3);
30) постановление Правительства Хабаровского края от 10 декабря 2018г. №446-пр «О компенсации расходов по оплате за обучение»;
31) постановление Правительства Хабаровского края от 12 февраля 2019г. №39-пр «О дополнительных мерах, направленных на поддержку рождаемости в Хабаровском крае»;
32) постановление Правительства Хабаровского края от 2 июля 2019г. №265-пр «Об утверждении Правил направления средств (части средств) регионального материнского (семейного) капитала в связи с рождением второго ребенка на получение образования ребенком (детьми) и осуществление иных связанных с получением образования ребенком (детьми) расходов;
33) Устав Учреждения;
34) настоящая Политика, утверждаемая приказом главным врачом краевого государственного бюджетного учреждения здравоохранения «Краевая клиническая больница» имени профессора О.В. Владимирцева.
- Порядок и условия обработки ПДн
Осуществляется смешанная обработка ПДн (как автоматизированная, так и не автоматизированная).
Обработка и хранение ПДн осуществляются не дольше, чем этого требуют цели обработки ПДн, если отсутствуют законные основания для дальнейшей обработки, например, если федеральным законом или договором с субъектом ПДн не установлен соответствующий срок хранения.
Для ПДн различных субъектов определяются следующие сроки хранения:
1) для ПДн Пациентов срок определяется соответствующими нормативными правовыми актами;
2) для ПДн Сотрудников — 75 лет с момента увольнения.
Трансграничная передача ПДн не осуществляется.
Осуществляется передача защищаемой информации с использованием сети Интернет по защищенным каналам связи.
Оператор вправе передавать ПДн органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
При осуществлении хранения ПДн Оператор использует базы данных, находящиеся на территории Российской Федерации.
- Изменение ПДн
Субъекты ПДн имеют право требовать внесение изменений и дополнений своих ПДн, обрабатываемых Оператором, обратившись к лицу, ответственному за организацию обработки ПДн, при этом они должны иметь оригиналы подтверждающих документов, в соответствии с которыми вносятся изменения.
- Меры, применяемые для защиты ПДн
Оператор принимает необходимые, достаточные технические и организационные меры для защиты ПДн от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ними со стороны третьих лиц.
К таким мерам относятся:
1) назначение Сотрудников, ответственных за организацию обработки и обеспечение безопасности ПДн;
2) издание локальных актов по вопросам обработки ПДн, ознакомление с ними Сотрудников, обучение пользователей;
3) обеспечение физической безопасности помещений и средств обработки, пропускной режим, охрана, видеонаблюдение;
4) ограничение и разграничение доступа Сотрудников и иных лиц к ПДн и средствам обработки, мониторинг действий с ПДн;
5) определение угроз безопасности ПДн при их обработке, формирование на их основе моделей угроз;
6) применение средств защиты информации (антивирусных средств, межсетевых экранов, средств защиты от несанкционированного доступа, средств криптографической защиты информации), в том числе прошедших процедуру оценки соответствия в установленном порядке;
7) учёт и хранение носителей информации, исключающее их хищение, подмену, несанкционированное копирование и уничтожение;
8) резервное копирование информации для возможности восстановления;
9) осуществление внутреннего контроля за соблюдением установленного порядка, проверка эффективности принятых мер, реагирование на инциденты.
- Сроки обработки и хранения ПДн
В соответствии с законодательством Российской Федерации определяются и устанавливаются сроки обработки и хранения персональных данных, обрабатываемых в Учреждении.
Сроки обработки и хранения ПДн, предоставляемых в связи с получением государственных услуг и исполнением государственных функций, определяются нормативными правовыми актами, регламентирующими порядок их сбора и обработки.
Персональные данные Граждан, обратившихся в Учреждение лично, а также направивших индивидуальные или коллективные письменные обращения или обращения в форме электронного документа, хранятся в течение пяти лет.
Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обосабливаются от иной информации, в частности, путем фиксации их на разных материальных носителях персональных данных и хранении их в сейфах и/или в запираемых шкафах.
Контроль за хранением и использованием материальных носителей ПДн, не допускающий несанкционированное использование, уточнение, распространение и уничтожение ПДн, находящихся на этих носителях, осуществляет администратор информационной безопасности, а также лицо, ответственное за организацию обработки персональных данных в Учреждении.
Срок хранения ПДн, внесенных в ИС, должен соответствовать сроку хранения бумажных оригиналов.
- Порядок уничтожения ПДн при достижении целей обработки или при наступлении иных законных оснований
Учреждением осуществляется систематический контроль и анализ документов, содержащих ПДн с истекшими сроками хранения, подлежащих уничтожению.
Вопрос об уничтожении указанных документов, содержащих ПДн, рассматривается технической комиссией по защите информации (далее – экспертная комиссия).
По итогам экспертной комиссии составляется протокол и акт о выделении к уничтожению документов, опись уничтожаемых дел, проверяется их комплектность, акт подписывается председателем и членами экспертной комиссии и утверждается руководителем учреждения.
Уничтожение по окончании срока обработки ПДн на электронных носителях производится путем механического нарушения целостности носителя, не позволяющего произвести считывание или восстановление персональных данных, или удалением с электронных носителей методами многочисленной перезаписи информации.
- Порядок доступа в помещения, в которых ведется обработка ПДн
Нахождение в помещениях, в которых ведется обработка ПДн, лиц, не имеющих права самостоятельного доступа в такие помещения, возможно только в присутствии уполномоченного на обработку ПДн и/или в присутствии лица, имеющего право самостоятельного доступа в такие помещения на время, ограниченное необходимостью решения вопросов, связанных с предоставлением ПДн, предоставлением государственных услуг, осуществлением государственных функций.
Ответственность за соблюдение порядка доступа в помещения, в которых ведется обработка персональных данных, возлагается на Сотрудника Учреждения и его начальника, а также на ответственного за организацию обработки персональных данных в Учреждении.
- Правила работы с обезличенными данными
Обезличивание ПДн может быть проведено в целях ведения статистических данных, снижения ущерба от разглашения защищаемых ПДн, снижения класса информационных систем и по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
Способы обезличивания при условии дальнейшей обработки персональных данных:
1) уменьшение перечня обрабатываемых сведений;
2) замена части сведений идентификаторами;
3) обобщение;
4) понижение точности некоторых сведений (например, «Место жительства» может состоять из страны, индекса, города, улицы, дома и квартиры, а может быть указан только населенный пункт);
5) деление сведений на части и обработка в разных информационных системах;
6) другие способы.
Способом обезличивания в случае достижения целей обработки или в случае утраты необходимости в достижении этих целей является сокращение перечня ПДн.
Перечень должностей министерства, ответственных за проведение мероприятий по обезличиванию обрабатываемых ПДн, устанавливается приказом министерства.
Обезличенные ПДн не подлежат разглашению и нарушению конфиденциальности.
Обезличенные ПДн могут обрабатываться с использованием и без использования средств автоматизации.
При обработке обезличенных ПДн с использованием средств автоматизации необходимо соблюдение:
1) парольной политики;
2) антивирусной политики;
3) правил работы со съемными носителями (если они используются);
4) правил резервного копирования;
5) правил доступа в помещения, где расположены элементы информационных систем.
При обработке обезличенных персональных данных без использования средств автоматизации необходимо соблюдение:
1) правил хранения бумажных носителей;
2) правил доступа к ним и в помещения, где они хранятся.
- Ответственность за нарушение норм, регулирующих обработку и защиту ПДн
Лицо, разрешающее доступ Сотрудников к документу, содержащему ПДн, несет персональную ответственность за данное разрешение.
Лица, допущенные к обработке ПДн, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
- Изменение Политики. Применимое законодательство
Оператор имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее размещения на сайте Оператора, если иное не предусмотрено новой редакцией Политики.
К настоящей Политике и отношениям между субъектом ПДн и Оператором применяется право Российской Федерации.