Обработка и защита персональных данных

 

ПОЛИТИКА

обработки и защиты персональных данных
в
ГБУЗ РК «Евпаторийская детская клиническая больница»

  1. Общие положения

1.1. Политика обработки персональных данных в ГБУЗ РК «Евпаторийская детская клиническая больница» (далее – Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в Учреждении персональных данных, функции Учреждения при обработке персональных данных, права субъектов персональных данных, а также реализуемые в Учреждении мероприятия по соблюдению требований к защите персональных данных.

1.2. Политика разработана с учетом требований:

  • Конституции Российской Федерации;

  • Трудового кодекса Российской Федерации;

  • Гражданского кодекса Российской Федерации;

  • Федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

  • Федерального закона Российской Федерации от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;

  • Федерального закона Российской Федерации от 29 ноября 2010 г. № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;

  • Федерального закона Российской Федерации от 02 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;

  • Федерального закона Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

  • Указа Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;

  • Постановления Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;

  • Постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

  • Постановления Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

  • Приказа ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

  • иных нормативных правовых актов Российской Федерации и нормативных документов уполномоченных органов государственной власти.

1.3. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих вопросы обработки персональных данных в ГБУЗ РК «Евпаторийская детская клиническая больница».

 

  1. Основные понятия.

 

В настоящей Политике используются следующие основные понятия:

  • Оператор персональных данных - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

  • Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;

  • Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

  • Безопасность персональных данных - защищенность персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

  • Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

 

3. Принципы и цели обработки персональных данных.

 

3.1. Обработка персональных данных в Учреждении осуществляется с учетом необходимости обеспечения защиты прав и свобод субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

  • обработка персональных данных осуществляется на законной и справедливой основе;

  • обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;

  • не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

  • не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

  • содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки, не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;

  • при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных, Учреждение принимает необходимые меры, либо обеспечивает их принятие, по удалению или уточнению неполных или неточных данных;

  • хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если иное не предусмотрено законодательством;

  • обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.

3.2. Персональные данные обрабатываются в ГБУЗ РК «Евпаторийская детская клиническая больница» в целях:

  • оказания медицинских и медико-профилактических услуг;

  • ведения персонифицированного учета в сфере обязательного медицинского страхования;

  • ведения персонифицированного учета сведений о медицинской помощи в рамках исполнения программы государственных гарантий бесплатного оказания гражданам медицинской помощи;

  • организации и ведения кадрового учета и делопроизводства Учреждения;

  • выполнения требований трудового законодательства Российской Федерации;

  • выполнения финансово-экономической деятельности Учреждения.

 

4. Перечень обрабатываемых персональных данных.

 

4.1. Перечень персональных данных, обрабатываемых в ГБУЗ РК «Евпаторийская детская клиническая больница», определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами Учреждения с учетом целей обработки персональных данных, указанных в разделе 3.2 настоящей Политики.

4.2. ГБУЗ РК «Евпаторийская детская клиническая больница», являясь оператором персональных данных, осуществляет обработку персональных данных субъектов: пациентов, сотрудников и контрагентов.

4.2.1. Перечень персональных данных пациентов:

  • Фамилия, имя, отчество (последнее - при наличии);

  • Пол;

  • Дата рождения;

  • Место рождения;

  • Гражданство;

  • Данные документа, удостоверяющего личность;

  • Место жительства;

  • Место регистрации;

  • Дата регистрации;

  • Страховой номер индивидуального лицевого счета (при наличии), принятый в соответствии с законодательством Российской Федерации об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования;

  • Номер полиса обязательного медицинского страхования застрахованного лица (при наличии);
    Анамнез;

  • Диагноз;

  • Сведения об организации, оказавшей медицинские услуги;

  • Вид оказанной медицинской помощи;

  • Условия оказания медицинской помощи;

  • Сроки оказания медицинской помощи;

  • Объем оказанной медицинской помощи;

  • Результат обращения за медицинской помощью;

  • Серия и номер выданного листка нетрудоспособности (при наличии);

  • Сведения об оказанных медицинских услугах;

  • Примененные стандарты медицинской помощи;

  • Сведения о медицинском работнике или медицинских работниках, оказавших медицинскую услугу;

  • Другие данные, обработка которых не противоречит действующему законодательству, нормативным актам и настоящей Политике.

4.2.2. Перечень персональных данных сотрудников:

  • Фамилия, имя, отчество (последнее - при наличии);

  • Пол;

  • Дата рождения;

  • Место рождения;

  • Гражданство;

  • Данные документа, удостоверяющего личность;

  • Место жительства;

  • Место регистрации;

  • Дата регистрации;

  • Страховой номер индивидуального лицевого счета (при наличии), принятый в соответствии с законодательством Российской Федерации об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования;

  • Сведения об образовании, в том числе данные об образовательных организациях и о документах об образовании и (или) о квалификации;

  • Наименование организации, оказывающей медицинские услуги;

  • Занимаемая должность в организации, оказывающей медицинские услуги;

  • Другие данные, обработка которых не противоречит действующему законодательству, нормативным актам и настоящей Политике.

4.2.3. Перечень персональных данных контрагентов.

При ведении финансово-экономической деятельности Учреждение может заключать договоры на поставку и оказание услуг с физическими лицами, являющимися индивидуальными предпринимателями. В этом случае контрагент предоставляет персональные данные:

  • Фамилия, имя, отчество (последнее - при наличии);

  • Данные документа, удостоверяющего личность;

  • Место жительства;

  • Место регистрации;

  • ИНН;

  • Страховой номер индивидуального лицевого счета (при наличии), принятый в соответствии с законодательством Российской Федерации об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования;

  • Другие данные, обработка которых не противоречит действующему законодательству, нормативным актам и настоящей Политике.

 

5. Условия и способы обработки персональных данных.

 

5.1. Обработка персональных данных пациента может осуществляться исключительно в медицинских целях, в целях установления диагноза, оказания медицинских услуг, оформления договорных отношений с пациентом, при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну в соответствии с законодательством Российской Федерации в области персональных данных.

5.2. Персональные данные пациентов относятся к специальной категории персональных данных.

5.3. Обработка специальных категорий персональных данных пациентов должна осуществляться с письменного согласия субъекта персональных данных или его законного представителя.

5.4. Предоставление сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя допускается:

  • если пациент в результате своего состояния не способен выразить свою волю, но ему необходимо лечение;

  • при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;

  • по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органов прокуратуры в связи с осуществлением ими прокурорского надзора, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля за поведением условно

  • осужденного, осужденного, в отношении которого отбывание наказания отсрочено, и лица, освобожденного условно-досрочно;

  • в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий.

5.5. Обработка персональных данных сотрудников может осуществляться исключительно в целях обеспечения соблюдения законодательства Российской Федерации в области персональных данных и иных нормативных правовых актов, оформления трудовых отношений, расчета и выдачи заработной платы или других доходов, налоговых и пенсионных отчислений, содействия работникам в трудоустройстве, обучении, повышении квалификации и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы, обеспечения сохранности имущества работодателя в соответствии с законодательством Российской Федерации в области персональных данных.

5.6. Обработка персональных данных сотрудников должна осуществляться с письменного согласия субъекта персональных данных.

5.7. Если персональные данные сотрудника, возможно получить только у третьей стороны, то сотрудник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

5.8. Обработка персональных данных контрагентов - физических лиц (в том числе физических лиц, являющихся индивидуальными предпринимателями), с которыми непосредственно у Учреждения заключен договор, может осуществляться без согласия на обработку персональных данных при условии, что эти данные не будут распространяться и предоставляться третьим лицам без согласия субъекта персональных данных и будут обрабатываться только в целях исполнения заключенных с ними договоров поставки (оказания услуг).

5.9. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных законодательством.

5.10. Обработка персональных данных в Учреждении осуществляется следующими способами:

  • неавтоматизированная обработка персональных данных;

  • автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

  • смешанная обработка персональных данных.

 

6. Меры по обеспечению защиты персональных данных.

 

Учреждение-оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры (или обеспечивает их принятие) для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных в соответствии с действующим законодательством и нормативными актами Учреждения.

6.1. Обеспечение безопасности персональных данных при их неавтоматизированной обработке в Учреждении достигается, в частности:

  • хранением текущей и архивной документации, содержащей персональные данные в помещениях Учреждения, предназначенных для хранения документации, в соответствии с действующим законодательством и внутренними нормативными актами;

  • обеспечением кабинетов, где хранятся документы, содержащие персональные данные, сейфами и запираемыми шкафами, оборудованными для опечатывания;

  • хранением персональных данных не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении;

  • хранением документов в течение установленных действующими нормативными актами сроков хранения данных документов. По истечении установленных сроков хранения документы подлежат уничтожению;

  • обособлением персональных данных, обрабатываемых без использования средств автоматизации, от иной информации, в частности путем их фиксации на отдельных материальных носителях персональных данных, в специальных разделах;

  • обеспечением раздельного хранения персональных данных и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории персональных данных;

  • ограничением доступа к персональным данным лицам, не уполномоченным Федеральным законодательством, либо нормативными актами Учреждения для получения соответствующих сведений.

6.2. Обеспечение безопасности персональных данных при их автоматизированной обработке в Учреждении достигается, в частности:

  • определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

  • применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

  • применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

  • оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

  • учетом машинных носителей персональных данных;

  • обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

  • восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

  • установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

  • контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;

6.3. При смешанной обработке персональных данных их защита достигается реализацией комплекса вышеперечисленных мер.

 

7. Права субъектов персональных данных.

 

Субъекты персональных данных имеют право на:

  • полную информацию об их персональных данных, обрабатываемых в Учреждении;

  • доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных федеральным законом, а также на доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;

  • уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки; 

  • отзыв согласия на обработку персональных данных; 

  • принятие предусмотренных законом мер по защите своих прав;

  • обжалование действия или бездействия Учреждения, осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;

  • осуществление иных прав, предусмотренных законодательством Российской Федерации.

 

8. Гарантии конфиденциальности.

 

Субъекты персональных данных - сотрудники Учреждения, пациенты (их законные представители) и контрагенты, передавая сведения о себе, вправе рассчитывать на соблюдение конфиденциальности при использовании данной информации в Учреждении.

8.1. Информация, относящаяся к персональным данным, ставшая известной в связи с реализацией трудовых отношений, является конфиденциальной информацией и охраняется законом.

8.2. Сотрудники и иные лица, получившие доступ к обрабатываемым персональным данным, предупреждены о возможной дисциплинарной, административной, гражданско-правовой или уголовной ответственности в случае нарушения норм и требований действующего законодательства, регулирующего правила обработки и защиты персональных данных.

8.3. Оператор и иные лица, получившие доступ к персональным данным пациентов, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

8.4. Хранение персональных данных должно происходить в порядке, исключающем их утрату или неправомерное использование.

8.5. Срок хранения персональных данных пациентов определяется целью обработки персональных данных. По истечению срока хранения или утраты цели обработки персональные данные подлежат уничтожению, обезличиванию или передаче в архив.

 

9. Заключительные положения

 

9.1. Настоящая Политика вступает в силу с даты ее утверждения Приказом главного врача.

9.2. Настоящая Политика распространяется на всех пациентов и сотрудников Учреждения.

9.3. Пациенты Учреждения, а также их законные представители, имеют право ознакомится с настоящей Политикой.

9.4. В обязанности сотрудников, осуществляющих первичный сбор персональных данных пациента, входит получение согласия пациента на обработку его персональных данных под личную подпись.

9.5. В обязанности Учреждения входит ознакомление всех сотрудников с настоящим Положением и лиц, принимаемых на работу до подписания трудового договора, под личную подпись.

 

 

ПОЛОЖЕНИЕ

о порядке обработки персональных данных

в ГБУЗ РК «Евпаторийская детская клиническая больница»

 

1. Основные понятия.

 

В настоящем Положении используются следующие понятия и термины:

  • Сотрудник - физическое лицо, находящееся в трудовых отношениях с работодателем.

  • Работодатель - ГБУЗ РК «Евпаторийская детская клиническая больница».

  • Пациенты - лица, обратившиеся за медицинской помощью, находящиеся под медицинским наблюдением, лица – получатели платных медицинских услуг, состоящие в договорных отношениях с Учреждением.

  • Субъекты персональных данных – сотрудники, пациенты, контрагенты, заявители Учреждения.

  • Персональные данные - любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

  • Информация - сведения (сообщения, данные) независимо от формы их представления.

  • Доступ к информации - возможность получения информации и ее использования.

  • Оператор - Учреждение и должностные лица Учреждения, организующие и (или) осуществляющие обработку персональных данных.

  • Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

  • Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

  • Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающие права и свободы субъекта персональных данных или других лиц.

  • Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

  • Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

  • Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

  • Безопасность персональных данных - состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

  • Конфиденциальность персональных данных - обязательное для соблюдения должностным лицом Учреждения, иным получившим доступ к персональным данным лицом требование не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных или наличия иного законного основания.

  • Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

  • Информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники.

  • Информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов.

  • Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

 

2. Общие положения.

 

2.1. Настоящее Положение определяет порядок обработки персональных данных субъектов ГБУЗ РК «Евпаторийская детская клиническая больница», а также гарантии обеспечения конфиденциальности сведений о них.

2.2. Настоящее Положение разработано на основании:

  • Конституции Российской Федерации;

  • Трудового кодекса Российской Федерации;

  • Гражданского кодекса Российской Федерации;

  • Федерального закона Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

  • Федерального закона Российской Федерации от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;

  • Федерального закона Российской Федерации от 29 ноября 2010 г. № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;

  • Федерального закона Российской Федерации от 02 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;

  • Федерального закона Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

  • Указа Президента Российской Федерации от 06 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;

  • Постановления Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;

  • Постановления Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

  • Постановления Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

  • Приказа ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

  • иных нормативных правовых актов Российской Федерации и нормативных документов уполномоченных органов государственной власти.

2.3. Требования настоящего Положения распространяются на все субъекты персональных данных Учреждения.

 

3. Цели и задачи.

 

3.1. Целями настоящего Положения являются:

  • обеспечение соответствия законодательству Российской Федерации действий работников ГБУЗ РК «Евпаторийская детская клиническая больница», направленных на обработку персональных данных в Учреждении;

  • обеспечение защиты персональных данных от несанкционированного доступа, утраты, неправомерного их использования или распространения.

3.2. Задачами настоящего Положения являются:

  • определение состава и категории обрабатываемых персональных данных в Учреждении;

  • определение принципов, порядка обработки персональных данных;

  • определение условий обработки и защиты персональных данных;

  • определение прав и обязанностей Учреждения и субъектов персональных данных при обработке персональных данных.

 

4. Понятие и состав персональных данных.

 

4.1. Учреждение осуществляет обработку следующих персональных данных: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес; семейное положение; образование; профессия; доходы;  пол; гражданство; паспортные данные; стаж работы; сведения о воинском учете; сведения об аттестации, повышении квалификации, профессиональной переподготовке; сведения о наградах, почетных званиях; сведения о социальных гарантиях; сведения о состоянии здоровья, в части выполнения трудовой функции; контактные телефоны; СНИЛС; ИНН;  состояние здоровья; место работы; полис ОМС; дата и время поступления; дата и время выписки.

4.2. Учреждение осуществляет обработку персональных данных следующих категорий субъектов:

  • сотрудников, состоящих в трудовых отношениях с ГБУЗ РК «Евпаторийская детская клиническая больница»;

  • пациентов Учреждения и их ближайших родственников;

  • контрагентов - физических лиц (в том числе физических лиц, являющихся индивидуальными предпринимателями), с которыми непосредственно у Учреждения заключен договор поставки (оказания услуг);

  • заявителей, физических лиц - посетителей сайта Учреждения.

4.3. Информация о персональных данных может содержаться:

  • на бумажных носителях;

  • на электронных носителях;

  • в информационно-телекоммуникационных сетях и иных информационных системах Учреждения.

4.4. В Учреждении используется смешанная обработка персональных данных - без использования средств автоматизации и с применением объектов вычислительной техники.

Учреждение устанавливает способы обработки персональных данных в зависимости от целей такой обработки и материально-технических возможностей.

При обработке персональных данных с применением объектов вычислительной техники должностные лица, осуществляющие такую обработку (пользователи объектов вычислительной техники), должны быть ознакомлены под роспись с локальными нормативными актами Учреждения, устанавливающими порядок применения объектов вычислительной техники в ГБУЗ РК «Евпаторийская детская клиническая больница».

4.5. Персональные данные сотрудников Учреждения содержатся в следующих документах (копиях указанных документов):

  • заявление сотрудника (о принятии на работу, об увольнении и т.п.);

  • паспорт (или иной документ, удостоверяющий личность);

  • трудовая книжка;

  • страховое свидетельство государственного пенсионного страхования;

  • свидетельство о постановке на учёт в налоговый орган и присвоении ИНН;

  • страховой медицинский полис;

  • документы об образовании, о квалификации или наличии специальных знаний, специальной подготовки;

  • документы воинского учёта;

  • свидетельство о браке/расторжении;

  • свидетельство о рождении детей, в том числе совершеннолетних;

  • справка об инвалидности (при наличии);

  • банковские реквизиты счета, предоставляемые при открытии зарплатной карты в банке;

  • справка об отсутствии судимости;

  • медицинская книжка с действующим медицинским осмотром;

  • документы, содержащие сведения об оплате труда с предыдущего места работы;

  • другие документы, содержащие персональные данные и предназначенные для использования в служебных целях.

4.6. Персональные данные пациентов Учреждения содержатся в следующих документах:

  • медицинская карта пациента, получающего медицинскую помощь в стационарных условиях (форма № 003/у);

  • статистическая карта выбывшего из стационара круглосуточного пребывания, дневного стационара при больничном учреждении, дневного стационара при амбулаторно- поликлиническом учреждении, стационара на дому (форма № 066/у-02);

  • история развития ребенка (форма № 112/у);

  • медицинская карта ребенка для образовательных учреждений (форма № 026/у-2000);

  • контрольная карта диспансерного наблюдения (форма № 30);

  • карта диспансеризации несовершеннолетнего (форма № 030-Д/с/у-13);

  • карта профилактического медицинского осмотра несовершеннолетнего (форма № 030-ПО/у-12);

  • выписка из медицинской карты амбулаторного, стационарного больного (форма № 027/у);

  • направления на госпитализацию, обследование, консультацию (форма № 057/у-04);

  • карта профилактических прививок (форма № 063/у);

  • талон пациента, получающего медицинскую помощь в амбулаторных условиях (форма № 025-1/у);

  • талон на приём к врачу (форма № 025-4/у-88);

  • журнал учета профилактических прививок (форма № 064/у);

  • извещение об установлении, изменении, уточнении и (или) снятии диагноза либо изменении иных данных о состоянии здоровья, физического и умственного развития у детей, оставшихся без попечения родителей (форма №470/у-10);

  • направление на медицинское обследование ребенка-сироты, ребенка, оставшегося без попечения родителей, помещаемого под надзор в организацию для детей-сирот и детей, оставшихся без попечения родителей (Приложение 1 к приказу НЗ РФ от 13.10.2015г №711-Н);

  • заключение о состоянии здоровья ребенка-сироты, ребенка, оставшегося без попечения родителей, помещаемого под надзор в организацию для детей-сирот и детей, оставшихся без попечения родителей (Приложение 3 к приказу НЗ РФ от 13.10.2015г №711-Н);

  • книга записи вызовов врачей на дом (форма № 031/у);

  • карточка предварительной записи на прием к врачу (форма № 040/у);

  • журнал записи амбулаторных операций (форма № 069/у);

  • тетрадь учета работы на дому участковой (патронажной) медицинской сестры (акушерки) (форма № 116/у);

  • журнал регистрации амбулаторных больных (форма № 074/у);

  • паспорт врачебного участка граждан, имеющих право на получение набора социальных услуг (Приложение №7 к приказу НЗ РФ от 15.12.2014г №834н);

  • сведения о лекарственных средствах, выписанных и отпущенных гражданам, имеющим права на получение набора социальных услуг (форма № 030-Р/у);

  • паспорт врачебного участка (педиатрического) (форма №030/У-пед);

  • медицинское заключение на ребенка, оформляющегося на усыновление (форма № 160/у);

  • направление на медико-социальную экспертизу организацией, оказывающей лечебно-профилактическую помощь (форма № 088/у-06);

  • журнал учета клинико-экспортной работы лечебно-профилактического учреждения (форма № 035/у-02);

  • листок нетрудоспособности;

  • медицинская справка на ребенка, отъезжающего в санаторно-оздоровительный лагерь (форма №079/у);

  • медицинская справка (для граждан, выезжающих за границу) (форма № 082/у);

  • медицинская справка (врачебное профессионально-консультативное заключение) (форма №086/у);

  • журнал регистрации выдачи медицинских справок (форма №086-2/у);

  • справка о временной нетрудоспособности студента, учащегося техникума, профессионально-технического училища, о болезни, карантине и прочих причинах отсутствия ребенка, посещающего школу, детское дошкольное учреждение (форма № 095/у);

  • карта обследования ребенка (подростка) с необычной реакцией на вакцинацию (ревакцинацию) БЦЖ (форма № 050/у);

  • лечебная карта призывника (форма № 053/у);

  • именной список призывников, направляемых для систематического лечения (форма № 054/у);

  • справка для получения путевки на санаторно-курортное лечение (форма № 070/у);

  • санаторно-курортная карта для детей (форма № 076/у);

  • журнал учета лиц, направляемых на санаторно-курортное лечение (реабилитацию) (Приложение №1 к приказу НЗ РК от 09.06.2015 №719);

  • журнал учета выданных справок для получения санаторно-курортных путевок по форме № 070/у (Приложение №2 к приказу НЗ РК от 09.06.2015 №719);

  • журнал учета выданных санаторно-курортных карт по форме №072/у и по форме № 076/у (Приложение №3 к приказу НЗ РК от 09.06.2015 №719);

  • журнал учета обратных талонов санаторно-курортных карт по форме №072/у и по форме №076/у (Приложение №4 к приказу НЗ РК от 09.06.2015 №719);

  • журнал учета выданных санаторно-курортных путевок (Приложение №5 к приказу НЗ РК от 09.06.2015 №719);

  • журнал учета отрывных талонов к санаторно-курортным путевкам (Приложение №6 к приказу НЗ РК от 09.06.2015 №719);

  • журнал учета работы санаторно-отборочной комиссии учреждения здравоохранения (Приложение №7 к приказу НЗ РК от 09.06.2015 №719);

  • карта лечащегося в кабинете лечебной физкультуры (форма № 042/у);

  • карта больного, лечащегося в физиотерапевтическом отделении (кабинете) (форма № 044/у );

  • медицинское свидетельство о смерти (форма № 106/У-08);

  • медицинское свидетельство о перинатальной смерти (форма №106-2/у-08);

  • регистрационный талон случая смерти ребенка от 1 года до 17 лет (Приложение №5 к приказу НЗ РК от 06.04.2015 №294);

  • регистрационный талон случая детской смертности до 1 года и мертворождения (Приложение №4 к приказу НЗ РК от 06.04.2015 №294);

  • журнал учета процедур (форма №029/у);

  • книга регистрации листков нетрудоспособности (форма № 036/у);

  • журнал учета инфекционных заболеваний (форма № 060/у);

  • экстренное извещение об инфекционном заболевании, пищевом заболевании, остром профессиональном отравлении, необычной реакции на прививку (форма № 058/у);

  • карта больного с имплантированным электрокардиостимулятором (форма № 073/у);

  • сигнальная карточка о выявлении несовершеннолетнего, семьи, находящихся в социально-опасном положении (Приложение №1 к постановлению комиссии по делам несовершеннолетних и защите их прав при муниципальном образовании городской округ Евпатория Республики Крым);

  • журнал отказов в госпитализации (форма 001/у;)

  • журнал выдачи направлений (форма 057/у);

  • договор на оказание платных медицинских услуг.

 

5. Получение и обработка персональных данных.

 

5.1. Получение персональных данных.

Документы, содержащие персональные данные, создаются/получают путём:

  • копирования оригиналов (паспорт, свидетельство ИНН, свидетельство государственного пенсионного страхования, страховой медицинский полис и др.);

  • внесения сведений в учётные формы (на бумажных и электронных носителях);

  • получения оригиналов необходимых документов (трудовая книжка, личный листок по учёту кадров, автобиография, др.);

  • внесения в информационные системы Учреждения.

5.2. Основы организации обработки персональных данных в Учреждении (цели, принципы, правовые основы, права и обязанности субъектов персональных данных).

5.2.1. Обработка персональных данных субъектов в Учреждении осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов, иных нормативных правовых актов Российской Федерации и реализации уставных задач Учреждения.

5.2.2. Принципы обработки персональных данных:

  • законность целей и способов обработки персональных данных;

  • соответствие целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Учреждения;

  • соответствие объема, характера и способов обрабатываемых персональных данных, целям обработки персональных данных;

  • достоверность персональных данных, их достаточность для целей обработки, недопустимость обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

  • недопустимость объединения созданных для несовместимых между собой целей баз данных информационных систем, содержащих персональные данные.

5.2.3.  Правовыми основаниями обработки персональных данных сотрудников Учреждения выступают: трудовое законодательство Российской Федерации и иные нормативные правовые акты, содержащие нормы трудового права.

5.2.4. Правовыми основаниями обработки персональных данных пациентов Учреждения выступают: законодательство Российской Федерации, лицензия на осуществление медицинской деятельности, гражданско-правовые договоры, согласие субъекта персональных данных.

5.2.5. В отношениях по обработке персональных данных субъекты персональных данных имеют право:

  • получать полную информацию о своих персональных данных и об обработке этих данных (в том числе автоматизированной);

  • ознакамливаться со сведениями, содержащими свои персональные данные, включая право получать копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законом;

  • выбирать представителей для защиты своих персональных данных;

  • получать доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору;

  • требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением федерального закона;

  • заявить в письменной форме администрации Учреждения при отказе оператора исключить или исправить персональные данные субъект персональных данных;

  • дополнить персональные данные оценочного характера путем выражения в письменном заявлении собственного мнения;

  • требовать от администрации Учреждения предоставления информации обо всех изменениях персональных данных, произведенных Учреждением, а также уведомления всех лиц, которым по вине Оператора были сообщены неверные или неполные персональные данные субъекта;

  • обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в суд любые неправомерные действия или бездействие администрации Учреждения при обработке его персональных данных.

5.2.6. При обращении субъекта персональных данных или его законного представителя по вопросам предоставления информации о персональных данных, относящихся к соответствующему субъекту, Учреждение обязано сообщить, согласно утвержденной форме, данному субъекту информацию о наличии персональных данных, предоставить возможность ознакомления с ней. Обращения субъектов персональных данных фиксируются в журнале учета обращений субъектов персональных данных о выполнении их законных прав при обработке персональных данных в информационных системах персональных данных по форме, утвержденной приказом главного врача.

5.2.7. В отношениях, связанных с обработкой персональных данных, субъекты персональных данных обязаны:

  • передавать Оператору достоверные персональные данные;

  • своевременно в срок, не превышающий 14 дней, сообщать Оператору об изменении своих персональных данных.

5.3. Сроки обработки персональных данных.

5.3.1. Общий срок обработки персональных данных определяется периодом времени, в течение которого Учреждение осуществляет действия (операции) в отношении персональных данных, обусловленные заявленными целями их обработки.

5.3.2. Сроки хранения документов, содержащих персональные данные, в Учреждении установлены в соответствии с «Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения», утвержденным приказом Минкультуры России от 25.08.2010 № 558. Документы, содержащие персональные данные, с неустановленными сроками хранения уничтожаются по достижению цели обработки.

5.3.3. Обработка персональных данных начинается с момента их получения Учреждением и заканчивается:

  • по достижении заранее заявленных целей обработки;

  • по факту утраты необходимости в достижении заранее заявленных целей обработки.

5.3.4. Учреждение осуществляет хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.

5.4. Условия обработки персональных данных

5.4.1. Общим условием обработки персональных данных является наличие согласия субъектов персональных данных на осуществление такой обработки.

Персональные данные Оператор получает непосредственно от работника, пациента, либо их представителя. Федеральными законами могут предусматриваться случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

5.4.2. Обработка персональных данных субъекта персональных данных без получения его согласия осуществляется в следующих случаях:

  • для осуществления и выполнения возложенных законодательством Российской Федерации на Учреждение функций, полномочий и обязанностей;

  • при поступлении официальных запросов с указанием правового основания (письменного запроса на бланке организации с печатью и росписью руководителя) из контрольно-надзорных или правоохранительных органов (суд, органы прокуратуры, ФСБ, МВД и т.п.);

  • при непосредственном обращении сотрудников правоохранительных или контрольно-надзорных органов при предъявлении ими служебного удостоверения и соответствующих документов о получении персональных данных (запрос, постановление и т.п.), а также в иных случаях, предусмотренных федеральным законом;

  • обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

  • обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

  • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.

5.4.3. Оператор не имеет права получать и обрабатывать персональные данные субъектов: о религиозных и иных убеждениях и частной жизни, а равно об их членстве в общественных объединениях или профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.

5.4.4. При принятии решений, затрагивающих интересы субъекта персональных данных, Оператор не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.

5.4.5. Обработка персональных данных осуществляется только должностными лицами Учреждения, непосредственно использующими их в служебных целях (раздел 6 настоящего Положения).

5.4.6. Уполномоченные администрацией Учреждения на обработку персональных данных лица имеют право получать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей. Все остальные работники и пациенты Учреждения имеют право на полную информацию, касающуюся только собственных персональных данных.

5.5. Уточнение, блокирование и уничтожение персональных данных

5.5.1. Уточнение персональных данных, в том числе их обновление и изменение, имеет своей целью обеспечение достоверности, полноты и актуальности персональных данных, обрабатываемых Учреждением.

5.5.2. Уточнение персональных данных осуществляется Учреждением по собственной инициативе, по требованию субъекта персональных данных или его законного представителя, по требованию уполномоченного органа по защите прав субъектов персональных данных в случае, когда установлено, что персональные данные являются неполными, устаревшими, недостоверными. Об уточнении персональных данных Учреждение обязано уведомить субъекта персональных данных или его законного представителя.

5.5.3. Блокирование персональных данных осуществляется Учреждением по требованию субъекта персональных данных или его законного представителя, а также по требованию уполномоченного органа по защите прав субъектов персональных данных в случае выявления недостоверных персональных данных или неправомерных действий с ними.

О блокировании персональных данных Учреждение обязано уведомить субъект персональных данных или его законного представителя.

5.5.4. Уничтожение персональных данных осуществляется:

  • по достижении цели обработки персональных данных;

  • в случае утраты необходимости в достижении целей обработки персональных данных;

  • по требованию субъекта персональных данных или уполномоченного органа по защите прав субъектов персональных данных в случае выявления фактов совершения Учреждением неправомерных действий с персональными данными, когда устранить соответствующие нарушения не представляется возможным.

5.5.5. В целях обеспечения законности при обработке персональных данных и устранения факторов, влекущих или могущих повлечь неправомерные действия с персональными данными, Учреждение вправе по собственной инициативе осуществить блокирование и (или) уничтожение персональных данных. О блокировании и (или) уничтожении персональных данных Учреждение обязано уведомить субъекта персональных данных или его законного представителя.

 

6. Доступ к персональным данным.

 

6.1. Внутренний доступ (сотрудники Учреждения).

6.1.1. Доступ к персональным данным работников имеют следующие должностные лица Учреждения, непосредственно использующие эти данные в рамках выполнения своих должностных обязанностей:

  • главный врач;

  • заместители главного врача медицинского и немедицинского профиля;

  • главный бухгалтер;

  • руководители структурных подразделений;

  • сотрудники бухгалтерии;

  • сотрудники отдела кадров;

  • экономисты, экономисты по материально-техническому снабжению;

  • сотрудники службы охраны труда;

  • секретарь;

  • юрисконсульт;

  • сотрудники организационно-методического отдела;

  • сотрудники отдела информационных технологий.

6.1.2. Доступ к персональным данным пациентов имеют следующие должностные лица Учреждения, непосредственно использующие их в рамках выполнения своих должностных обязанностей:

  • главный врач;

  • заместители главного врача медицинского и немедицинского профиля;

  • главный бухгалтер;

  • врачебный персонал (заведующие отделениями, врачи);

  • средний медицинский персонал;

  • сотрудники организационно-методического отдела, непосредственно обрабатывающие персональные данные пациентов;

  • сотрудники отдела информационных технологий.

6.1.3. Перечень работников Учреждения, имеющих в силу исполнения ими своих должностных обязанностей доступ к персональным данным, утверждается приказом главного врача Учреждения.

6.2. Условия обеспечения конфиденциальности информации.

6.2.1. Должностные лица Учреждения, имеющие в силу исполнения ими своих должностных обязанностей доступ к персональным данным, при их обработке должны обеспечивать конфиденциальность этих данных. Обеспечение конфиденциальности сведений, содержащих персональные данные, в Учреждении осуществляется в соответствии с локальными нормативными актами ГБУЗ РК «Евпаторийская детская клиническая больница.

6.2.2. Обеспечение конфиденциальности персональных данных не требуется:

  • в случае обезличивания персональных данных;

  • для общедоступных персональных данных.

6.3. Внешний доступ (другие организации и граждане).

6.3.1. Внешний доступ к персональным данным разрешается только с письменного согласия работника или пациента, персональные данные которого затребованы, при наличии заявления запросившего их лица с указанием правового основания, перечня необходимой информации, целей для которых она будет использована. При отсутствии согласия субъекта персональных данных доступ к персональным данным возможен только при наличии законного основания.

6.3.2. Сообщение сведений о персональных данных работника его родственникам, членам семьи, иным близким ему людям также производится только при получении письменного согласия субъекта персональных данных.

6.3.3. Субъект персональных данных, о котором запрашиваются сведения, относящиеся к персональным данным, должен быть уведомлён о передаче его персональных данных третьим лицам.

6.3.4. При передаче персональных данных субъектов Учреждения третьим лицам, между сторонами в соответствии с действующим законодательством Российской Федерации заключается Договор о конфиденциальности и неразглашении персональных данных, регулирующий объем сведений конфиденциального характера и вопросы установления в отношении этих сведений режима конфиденциальной информации.

6.3.5. Запрещается передача персональных данных в коммерческих целях без согласия субъекта персональных данных, а также иное использование персональных данных в неслужебных целях.

 

7. Защита персональных данных.

 

7.1. Учреждение при обработке персональных данных принимает необходимые организационные и технические меры, в том числе использует шифровальные (криптографические) средства, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.

7.2. В целях обеспечения защиты персональных данных:

  • разрабатываются планы мероприятий по обеспечению защиты персональных данных в информационных системах персональных данных;

  • проводятся внутренние проверки состояния защиты персональных данных;

  • утверждаются списки лиц, доступ которых к персональным данным, обрабатываемым в информационных системах, необходим для выполнения служебных (трудовых) обязанностей;

  • разрабатываются и утверждаются локальные нормативные акты и должностные инструкции;

  • иные документы, регулирующие порядок обработки и обеспечения безопасности и конфиденциальности персональных данных.

7.3. В случае выявления неправомерных действий с персональными данными Оператор обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений Учреждение обязано уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Учреждение обязано уведомить субъекта персональных данных или его законного представителя.

7.4. Внутренняя защита персональных данных

7.4.1. Персональные данные, содержащиеся на бумажных носителях, должны храниться в запираемых несгораемых шкафах или в запираемых металлических сейфах.

7.4.2. Персональные данные, содержащиеся на бумажных носителях, сдаются в архив Учреждения после истечения установленного срока хранения.

7.4.3. Персональные данные, содержащиеся на электронных носителях информации, хранятся на серверах Учреждения. Доступ к указанным серверам строго ограничен кругом лиц, ответственных за обработку персональных данных. Информация на электронных носителях должна быть защищена паролем доступа, который подлежит смене не реже 1 (одного) раза в 6 (шесть) месяцев.

7.4.4. Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:

  • определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз;

  • разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем;

  • проверку готовности средств защиты информации к использованию;

  • установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией;

  • инструктирование лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними;

  • учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;

  • учет лиц, допущенных к работе с персональными данными в информационной системе;

  • контроль за соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;

  • анализ фактов несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, составление заключений по данным фактам, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

7.5. Внешняя защита персональных данных.

7.5.1. Помещения и территория Учреждения охраняются, в том числе с помощью средств визуального наблюдения.

7.5.2. Персональные данные в зависимости от способа их фиксации (бумажный носитель, электронный носитель) подлежат обработке таким образом, чтобы исключить возможность ознакомления с содержанием указанной информации сторонними лицами.

 

8. Ответственность за разглашение персональных данных.

 

8.1. Лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с федеральными законами.

8.2. Руководители структурных подразделений, в функции которых входит обработка персональных данных, несут персональную ответственность за нарушение порядка доступа работников данных структурных подразделений Учреждения и третьих лиц к информации, содержащей персональные данные.

8.3. Должностные лица Учреждения, обрабатывающие персональные данные, несут персональную ответственность за:

  • не обеспечение конфиденциальности информации, содержащей персональные данные;

  • неправомерный отказ субъекту персональных данных в предоставлении собранных в установленном порядке персональных данных либо предоставление неполной или заведомо ложной информации.

 

9. Заключительные положения.

 

9.1. Настоящее Положение вступает в силу с момента его утверждения главным врачом ГБУЗ РК «Евпаторийская детская клиническая больница» и действует бессрочно, до замены его новым Положением.

9.2. Настоящее Положение действует в отношении всех сотрудников Учреждения.

9.3. Настоящее Положение является общедоступным, его текст подлежит публикации на официальном сайте Учреждения.