Утверждена
Приказом главного врача
ГБУЗ РК «ВРД» № 61
от 24.03.2017 г.

Политика Государственного Бюджетного Учреждения Здравоохранения республики Коми «Воркутинский родильный дом» в отношении обработки и защиты персональных данных

1. Общие положения

1.1. Настоящая политика (далее – Политика) разработана в соответствии со ст. 18.1 Федерального закона № 152-ФЗ от 27.07.2006 г. «О персональных данных» (далее – Закон «О персональных данных») и является основополагающим внутренним регулятивным документом Государственного бюджетного учреждения здравоохранения Республики Коми «Воркутинский родильный дом» (далее – ГБУЗ РК «ВРД»), определяющим ключевые направления его деятельности в области обработки и защиты персональных данных, оператором которых является ГБУЗ РК «ВРД».

1.2. Политика разработана в целях реализации требований законодательства в области обработки и защиты персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в ГБУЗ РК «ВРД», в том числе защиты прав на неприкосновенность частной жизни, личной и семейной тайн.

1.3. Положения Политики распространяются на отношения по обработке и защите персональных данных, полученных ГБУЗ РК «ВРД» как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите персональных данных, полученных до её утверждения.

1.4. Если в отношениях с ГБУЗ РК «ВРД» участвуют наследники (правопреемники) и (или) представители субъектов персональных данных, то ГБУЗ РК «ВРД» становится оператором персональных данных лиц, представляющих указанных субъектов. Положения Политики и другие внутренние регулятивные документы ГБУЗ РК «ВРД» распространяются на случаи обработки и защиты персональных данных наследников (правопреемников) и (или) представителей субъектов персональных данных, даже если эти лица во внутренних регулятивных документах прямо не упоминаются, но фактически участвуют в правоотношениях с ГБУЗ РК «ВРД».

2. Основания обработки и состав персональных данных, обрабатываемых в ГБУЗ РК «ВРД»

2.1. Обработка персональных данных в ГБУЗ РК «ВРД» осуществляется в связи с выполнением уставных функций, определяемых:

2.1.1. Конституцией Российской Федерации;

2.1.2. Конституцией Республики Коми;

2.1.3. Федеральным законом № 323-ФЗ от 21.11.2011 г. «Об основах охраны здоровья граждан в Российской Федерации»;

2.1.4. иными нормативными правовыми актами Российской Федерации и Республики Коми;

2.1.5. приказами Министерства здравоохранения Российской Федерации и Республики Коми;

2.1.6. уставом учреждения.

Кроме того, обработка персональных данных в ГБУЗ РК «ВРД» осуществляется в ходе трудовых и иных непосредственно связанных с ними отношений, в которых ГБУЗ РК «ВРД» выступает в качестве работодателя (гл. 14 Трудового кодекса Российской Федерации), в связи с реализацией ГБУЗ РК «ВРД» своих прав и обязанностей как юридического лица.

При этом обрабатываются персональные данные:

а) амбулаторных и стационарных пациентов ГБУЗ РК «ВРД»;

б) лиц, направивших в ГБУЗ РК «ВРД» запросы или обращения в соответствии с действующим законодательством;

в) контрагентов ГБУЗ РК «ВРД»;

г) работников ГБУЗ РК «ВРД», включая соискателей на должности ГБУЗ РК «ВРД» и лиц, с которыми трудовые отношения прекращены;

д) лиц, являющихся сторонами ученических договоров, не состоящих в штате ГБУЗ РК «ВРД»;

е) членов семей работников ГБУЗ РК «ВРД», подлежащих особому учёту для обеспечения их защиты при возникновении чрезвычайных ситуаций;

ж) объектов благотворительных акций.

2.2. В связи с трудовыми и иными непосредственно связанными с ними отношениями, в которых ГБУЗ РК «ВРД» выступает в качестве работодателя, обрабатываются персональные данные лиц, претендующих на трудоустройство в ГБУЗ РК «ВРД», работников ГБУЗ РК «ВРД» (далее – Работники) и бывших Работников.

2.3. В связи с реализацией своих прав и обязанностей как юридического лица, ГБУЗ РК «ВРД» обрабатываются персональные данные физических лиц, являющихся контрагентами (возможными контрагентами) ГБУЗ РК «ВРД» по гражданско-правовым договорам, персональные данные руководителей, членов коллегиальных исполнительных органов и представителей юридических лиц, персональные данные иных физических лиц, представленные участниками закупки, физических лиц, персональных данных которых используются для осуществления пропускного режима в занимаемых ГБУЗ РК «ВРД» помещениях, а также граждан, письменно обращающихся в ГБУЗ РК «ВРД» по вопросам его деятельности (помимо лиц, указанных в пунктах 2.1 – 2.3 Политики).

2.4. Персональные данные получаются и обрабатываются ГБУЗ РК «ВРД» на основании федеральных законов и иных нормативных правовых актов Российской Федерации, а в необходимых случаях – при наличии письменного согласия субъекта персональных данных.

2.5. В целях исполнения возложенных на ГБУЗ РК «ВРД» функций ГБУЗ РК «ВРД» в установленном порядке вправе поручить обработку персональных данных третьим лицам.

В договоры с лицами, которым ГБУЗ РК «ВРД» поручает обработку персональных данных, включаются условия, обязывающие таких лиц соблюдать предусмотренные законодательством требования к обработке и защите персональных данных.

2.6. ГБУЗ РК «ВРД» предоставляет обрабатываемые им персональных данных государственным органам и организациям, имеющим, в соответствии с федеральным законом, право на получение соответствующих персональных данных.

2.7. В ГБУЗ РК «ВРД» не производится обработка персональных данных, несовместимая с целями их сбора. Если иное не предусмотрено федеральным законом, по окончании обработки персональных данных в ГБУЗ РК «ВРД», в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывавшиеся ГБУЗ РК «ВРД» персональные данные уничтожатся или обезличиваются.

2.8. При обработке персональных данных обеспечиваются их точность, достаточность, а при необходимости – и актуальность по отношению к целям обработки. ГБУЗ РК «ВРД» принимает необходимые меры по удалению или уточнению неполных или неточных персональных данных.

3. Принципы обеспечения безопасности персональных данных

3.1. Основной задачей обеспечения безопасности персональных данных при их обработке в ГБУЗ РК «ВРД» является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения персональных данных, разрушения (уничтожения) или искажения их в процессе обработки.

3.2. Для обеспечения безопасности персональных данных ГБУЗ РК «ВРД» руководствуется следующими принципами:

3.2.1. законность: защита персональных данных основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты персональных данных;

3.2.2. системность: обработка персональных данных в ГБУЗ РК «ВРД» осуществляется с учётом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности персональных данных;

3.2.3. комплексность: защита персональных данных строится с использованием функциональных возможностей информационных технологий, реализованных в ГБУЗ РК «ВРД»;

3.2.4. непрерывность: защита персональных данных обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки персональных данных, в том числе, при оказании медицинской помощи населению, проведении ремонтных и регламентных работ;

3.2.5. своевременность: меры, обеспечивающие надлежащий уровень безопасности персональных данных, принимаются до начала их обработки;

3.2.6. преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты персональных данных осуществляется на основании результатов анализа практики обработки персональных данных в ГБУЗ РК «ВРД» с учётом выявления новых способов и средств реализации угроз безопасности персональных данных, отечественного и зарубежного опыта в сфере защиты информации;

3.2.7. персональная ответственность: ответственность за обеспечение безопасности персональных данных возлагается на Работников в пределах их обязанностей, связанных с обработкой и защитой персональных данных;

3.2.8. минимизация прав доступа: доступ к персональным данным предоставляется Работникам только в объёме, необходимом для выполнения их должностных обязанностей;

3.2.9. гибкость: обеспечение выполнения функций защиты персональных данных при изменении объёма и состава обрабатываемых персональных данных;

3.2.10. открытость алгоритмов и механизмов защиты: структура, технологии и алгоритмы функционирования системы защиты персональных данных ГБУЗ РК «ВРД» не дают возможности преодоления защиты возможными нарушителями безопасности персональных данных;

3.2.11. научная обоснованность и техническая реализуемость: уровень мер по защите персональных данных определяется современным уровнем развития информационных технологий и средств защиты информации;

3.2.12. специализация и профессионализм: реализация мер по обеспечению безопасности персональных данных осуществляются Работниками, имеющими необходимые для этого квалификацию и опыт;

3.2.13. эффективность процедур отбора кадров и выбора контрагентов: кадровая политика ГБУЗ РК «ВРД» предусматривает тщательный подбор персонала и мотивацию Работников, позволяющую исключить или минимизировать возможность нарушения ими безопасности персональных данных; минимизация вероятности возникновения угрозы безопасности персональных данных, источники которых связаны с человеческим фактором, обеспечивается получением наиболее полной информации о контрагентах ГБУЗ РК «ВРД» до заключения договоров;

3.2.14. наблюдаемость и прозрачность: меры по обеспечению безопасности персональных данных должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы (прозрачны) и могли быть оценены лицами, осуществляющими контроль;

3.2.15. непрерывность контроля и оценки: устанавливаются процедуры постоянного контроля использования систем обработки и защиты персональных данных, а результаты контроля регулярно анализируются.

4. Доступ к обрабатываемым персональным данным

4.1. Доступ к обрабатываемым в ГБУЗ РК «ВРД» персональных данных имеют лица, уполномоченные приказом ГБУЗ РК «ВРД», лица, которым ГБУЗ РК «ВРД» поручило обработку персональных данных на основании заключённого договора, а также лица, чьи персональные данные подлежат обработке.

4.2. В целях разграничения полномочий при обработке персональных данных полномочия по реализации каждой определённой уставом функции ГБУЗ РК «ВРД» закрепляются за соответствующими структурными подразделениями ГБУЗ РК «ВРД».

Доступ к персональным данным, обрабатываемым в ходе реализации полномочий, закреплённых за конкретным структурным подразделением ГБУЗ РК «ВРД», могут иметь только Работники этого структурного подразделения. Работники допускаются к персональным данным, связанным с деятельностью другого структурного подразделения, только для чтения и подготовки обобщенных материалов в части вопросов, касающихся структурного подразделения этих Работников.

4.3. Доступ Работников к обрабатываемым персональным данным осуществляется в соответствии с их должностными обязанностями и требованиями внутренних регулятивных документов ГБУЗ РК «ВРД».

Допущенные к обработке персональных данных Работники под роспись знакомятся с документами ГБУЗ РК «ВРД», устанавливающими порядок обработки персональных данных, включая документы, устанавливающие права и обязанности конкретных Работников.

4.4. Порядок доступа субъекта персональных данных к его персональным данным, обрабатываемым ГБУЗ РК «ВРД», определяется в соответствии с законодательством и определяется локальными нормативными актами ГБУЗ РК «ВРД».

5. Реализуемые требования к защите персональных данных

5.1. ГБУЗ РК «ВРД» принимает правовые, организационные и технические меры (или обеспечивает их принятие), необходимые и достаточные для обеспечения исполнения обязанностей, предусмотренных Законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

5.2. Состав указанных в пункте 5.1 Политики мер, включая их содержание и выбор средств защиты персональных данных, определяется, а внутренние регулятивные документы об обработке и защите персональных данных утверждаются (издаются) ГБУЗ РК «ВРД» исходя из требований:

• Закона «О персональных данных»;
• главы 14 Трудового кодекса Российской Федерации;
• постановления Правительства Российской Федерации № 1119 от 1 ноября 2012 г. «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• приказа ФСТЭК России № 21 от 18 февраля 2013 г. «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• постановления Правительства Российской Федерации № 687 от 15 сентября 2008 г. «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• постановления Правительства Российской Федерации РФ № 512 от 6 июля 2008 г. «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
• иных нормативных правовых актов Российской Федерации и Республики Коми об обработке и защите персональных данных.

5.3. В предусмотренных законодательством случаях обработка персональных данных осуществляется ГБУЗ РК «ВРД» с согласия субъектов персональных данных.

ГБУЗ РК «ВРД» производится устранение выявленных нарушений законодательства об обработке и защите персональных данных.

5.4. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше чем этого требуют цели обработки персональных данных, если срок хранения не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

5.5. ГБУЗ РК «ВРД» осуществляется ознакомление работников ГБУЗ РК «ВРД», непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе, требованиями к защите персональных данных, Политикой и иными внутренними регулятивными документами по вопросам обработки персональных данных, и (или) обучение указанных работников по вопросам обработки и защиты персональных данных.

В ГБУЗ РК «ВРД», в том числе, осуществляются:

• оценка эффективности принимаемых и реализованных мер по обеспечению безопасности персональных данных;
• учёт машинных носителей персональных данных, обеспечение их сохранности;
• обнаружение фактов несанкционированного доступа к персональным данным и принятие соответствующих мер;
• восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установление правил доступа к обрабатываемым персональным данным, а также обеспечение регистрации и учёта действий, совершаемых с персональными данными;
• организация режима обеспечения безопасности помещений, в которых размещена информационная система, препятствующего возможности неконтролируемого проникновения или пребывания в этих помещениях лиц, не имеющих права доступа в эти помещения;
• контроль за принимаемыми мерами по обеспечению безопасности персональных данных.

5.6. Обеспечение защиты персональных данных в ГБУЗ РК «ВРД» при их обработке, осуществляемой без использования средств автоматизации, достигается, в частности, путём:

5.6.1. обособления персональных данных от иной информации;

5.6.2. недопущения фиксации на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы;

5.6.3. использования отдельных материальных носителей для обработки каждой категории персональных данных;

5.6.4. принятия мер по обеспечению раздельной обработки персональных данных при несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных;

5.6.5. соблюдения требований:

• к раздельной обработке зафиксированных на одном материальном носителе персональных данных и информации, не относящейся к персональным данным;
• уточнению персональных данных;
• уничтожению или обезличиванию части персональных данных;
• использованию типовых форм документов, характер информации в которых предполагается или допускается включение в них персональных данных;
• ведению журналов, содержащих персональные данные, необходимых для выдачи однократных пропусков субъектам персональных данных в занимаемые ГБУЗ РК «ВРД» здания и помещения;
• хранению персональных данных, в том числе к обеспечению раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях, и установлению перечня лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.