Политика обработки и защиты персональных данных


Приложение № 1
к приказу главного врача БУЗ ВО
«Череповецкая городская поликлиника № 2» от 24.03.2017 № 171

Политика в отношении обработки и защиты персональных данных бюджетного учреждения здравоохранения Вологодской области «Череповецкая городская поликлиника № 2» (БУЗ ВО «Череповецкая городская поликлиника № 2»)

1. Общие положения.

Бюджетное учреждение здравоохранения Вологодской области«Череповецкая городская поликлиника № 2» (далее - учреждение) при осуществлении своей деятельности по исполнению возложенных на него полномочий (функций) обеспечивает выполнение комплекса правовых, организационных и технических мер, направленных на защиту персональных данных физических лиц, в соответствии с требованиями законодательства Российской Федерации по защите информации.
1.1.Настоящая политика определяет основные положения обработки и защиты персональных данных, реализуемые при обработке персональных данных в учреждении.
1.2.Целью принятия политики является выполнение требований законодательства в области защиты персональных данных.
1.3.Целью обеспечения защиты персональных данных является обеспечение защиты прав и свобод субъекта персональных данных, в том числе минимизация ущерба, возникающего вследствие возможной реализации угроз безопасности персональных данных.
1.4.Действие настоящей политики распространяется на персональные данные, обрабатываемые в учреждении с применением средств автоматизации и без применения таких средств.
1.5.Понятия, связанные с обработкой персональных данных, используются в том значении, в котором они приведены в Федеральном законе от 27 июля 2006 года
№ 152-ФЗ «О персональных данных».

2. Принципы и цели обработки персональных данных.

2.1.Обработка персональных данных в учреждении осуществляется на основе принципов законности и справедливости и ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2.2.Персональные данные, цели обработки которых несовместимы между собой, обрабатываются учреждением в различных базах данных, содержание и объем персональных данных соответствуют заявленным целям обработки.
2.3.При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Должностные лица учреждения должны принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
2.4.Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели обработки, если срок хранения персональных данных не установлен действующим законодательством. Обрабатываемые персональные данные подлежат уничтожению или обезличиванию по достижению целей обработки, если иное не предусмотрено действующим законодательством.
2.5.Работники учреждения и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено законодательством Российской Федерации.
2.6.Обработке в учреждении подлежат только те персональные данные, которые отвечают нижеследующим целям обработки:
-обеспечениесоблюденияКонституцииРоссийскойФедерации, федеральных законов и иных нормативных правовых актов Российской Федерации;
-обеспечениесоблюдениязаконодательствавобластисоциального обслуживания;
-статистическим целям;
-исполнение договоров, стороной которого является субъект персональных данных.

3. Категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения.

3.1.К категориям субъектов, персональные данные которых обрабатываются в учреждении, относятся:
-работники – физические лица, состоящие в трудовых отношениях с учреждением;
-пациенты;
-граждане, обратившиеся в учреждение с обращением (жалоба, заявление, предложение и т.д.) по вопросам, относящимся к компетенции Учреждении.
3.2.Документы, содержащие персональные данные обрабатываются в сроки, обусловленные заявленными целями их обработки.
3.3.Использование персональных данных осуществляется с момента их получения оператором и прекращается:
-по достижению целей обработки персональных данных;
-в связи с отсутствием необходимости в достижении заранее заявленных целей обработки персональных данных.
3.4.Сроки хранения персональных данных устанавливаются в соответствии с номенклатурой дел учреждения.

4. Права и обязанности субъекта персональных данных.

4.1.Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
-подтверждение факта обработки персональных данных;
-правовые основания и цели обработки персональных данных;
-цели и применяемые оператором способы обработки персональных данных;
-наименование и место нахождения учреждения, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с учреждением или на основании законодательства;
-обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством;
-сроки обработки персональных данных, в том числе сроки их хранения;
-порядок осуществления субъектом персональных данных прав, предусмотренных законодательством;
-информацию об осуществленной или о предполагаемой трансграничной передаче данных;
-наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных.
4.2.Право субъекта персональных данных на доступ к его персональным данным ограничивается в соответствии с частью 8 статьи 14 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных».
4.3.Субъект персональных данных вправе требовать от учреждения уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
4.4.Сведения, указанные в пункте 4.1. раздела 4 Политики, должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
4.5.Если субъект персональных данных считает, что учреждение осуществляет обработку его персональных данных с нарушением требований Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Учреждении в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.
4.6.Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
4.7.Субъект персональных данных обязан:
-передавать учреждению достоверные, документированные персональные данные, состав которых установлен законодательством;
-своевременно сообщать работникам учреждения, уполномоченным на получение, обработку, хранение, передачу и любое другое использование персональных данных, об изменении своих персональных данных.

5. Права и обязанности работников учреждения, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных
данных при обработке персональных данных.


5.1.Работники учреждения, уполномоченные на получение, обработку, хранение, передачу и любое другое использование персональных данных обязаны:
-знать и выполнять требования законодательства в области обеспечения защиты персональных данных;
-хранить в тайне известные им персональные данные, информировать о фактах нарушения порядка обращения с персональными данными, о попытках несанкционированного доступа к ним;
-соблюдать правила использования персональных данных, порядок их учета и хранения, исключить доступ к ним посторонних лиц;
-обрабатывать только те персональные данные, к которым получен доступ в силу исполнения служебных обязанностей.
5.2.При обработке персональных данных работникам учреждения, уполномоченным на получение, обработку, хранение, передачу и любое другое использование персональных данных запрещается:
-использовать сведения, содержащие персональные данные, в неслужебных целях, а также в служебных целях – при ведении переговоров по телефонной сети, в открытой переписке, статьях и выступлениях;
-передавать персональные данные по незащищенным каналам связи (телетайп, факсимильная связь, электронная почта) без использования сертифицированных средств криптографической защиты информации.
5.3.Работники учреждения, уполномоченные на получение, обработку, хранение, передачу и любое другое использование персональных данных имеют право:
-предоставлять персональные данные третьим лицам при наличии согласия на это субъекта персональных данных, а также в других случаях предусмотренных действующим законодательством;
-продолжать обработку персональных данных после отзыва согласия субъектом персональных данных в случаях, предусмотренных законодательством;
-мотивированно отказать субъекту персональных данных (его представителю) в удовлетворении запроса о предоставлении информации, касающейся обработки персональных данных субъекта, при наличии оснований, предусмотренных законодательством Российской Федерации.
5.4.Ответственность работников учреждения, уполномоченных на получение, обработку, хранение, передачу и любое другое использование персональных данных:
-виновные в нарушении требований законодательства в области защиты персональных данных, в том числе допустившие разглашение персональных данных, несут персональную гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством ответственность.

6. Меры, принимаемые для защиты персональных данных.

Учреждение для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных принимает следующие меры:
-назначение лиц, ответственных за организацию обработки персональных данных в учреждении;
-издание настоящей Политики, а также разработки иной документации с учетом требований законодательства в области защиты персональных данных;
-определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
-применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения законодательства в области защиты информации;
-учет машинных носителей персональных данных;
-обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
-восстановление персональных данных, модифицированных и уничтоженных вследствие несанкционированного доступа к ним;
-разграничение доступа работников к информации, содержащей персональные данные субъектов персональных данных, в соответствии с их должностными обязанностями;
-установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных;
-ограничение доступа в помещения, где размещены технические средства, осуществляющие обработку персональных данных, а также где хранятся носители информации;
-соблюдение работниками, допущенных к обработке персональных данных субъектов, требований, установленных законодательством Российской Федерации в области персональных данных и локальными нормативными актами департамента.

7. Заключительные положения.

7.1.Во исполнение части 2 статьи 18.1. Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» настоящая политика опубликована на официальном сайте Учреждении (http:// http://medclinika2.ru/ /).
7.2.Учреждение оставляет за собой право вносить изменения в настоящую политику (во все ее разделы и преамбулу, а также в наименование).
7.3.Иные локальные нормативные акты учреждения должны издаваться в соответствии с настоящей политикой и законодательством в области персональных данных.