Скачать: Приказ об утверждении политики информационной безопасности ГАУЗ ООКНД

---

О защите персональных данных в
ГАУЗ «Оренбургский областной клинический наркологический диспансер»

Государственное автономное учреждение здравоохранения «Оренбургский областной клинический наркологический диспансер» (далее - ГАУЗ «ООКНД») ведет обработку персональных данных в соответствии с действующим законодательством РФ.  

Цель и содержание обработки персональных данных определяет ГАУЗ «ООКНД», обработку персональных данных осуществляют структурные подразделения ГАУЗ «ООКНД» и уполномоченные на обработку персональных данных работники. Работники, обрабатывающие персональные данные, подписали обязательство о неразглашении информации ограниченного доступа, в том числе персональных данных и сведений, составляющих врачебную тайну и в соответствии со         ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» предупреждены об ответственности за незаконную обработку персональных данных, а также за их разглашение.

Обработка персональных данных пациентов осуществляется в следующих целях:

- оформление гражданско-правовых отношений;

- ведение реестра лиц, обратившихся за медицинской помощью;

- выполнение видов деятельности изложенных в Уставе ГАУЗ «ООКНД»;

- выполнение видов деятельности изложенных в лицензии на осуществление медицинской деятельности;

- выполнение других задач, возлагаемых на ГАУЗ «ООКНД» законодательством РФ.

В целях организации обработки персональных данных, выполнения обязанностей, установленных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», обеспечения безопасности персональных данных в ГАУЗ «ООКНД» назначен ответственный за организацию обработки персональных данных.

Ответственный за организацию обработки персональных данных: Заместитель главного врача по организационно – методической работе, Карпова Елена Сергеевна.

Контакты: 460004, г. Оренбург, пер. Дорожный, д. 8, кабинет ОМР, телефон: 50-77-72, e-mail: oob10-omo@mail.orb.ru

Администратор безопасности: Специалист по защите информации, Мусаев Тимур Русланович

Контакты: 460004, г. Оренбург, пер. Дорожный, 8, телефон: 50-07-97, e-mail: 

 «Уведомление об обработке (о намерении осуществлять обработку) персональных данных ГАУЗ «Оренбургский областной клинический наркологический диспансер» от 21 декабря 2009 года рег. № 10-0082058 размещено на сайте: http://pd.rkn.gov.ru/operators-registry/operators-list/?id=10-0082058

---

 

 1. «Конвенция о защите физических лиц при автоматизированной обработке персональных данных» от 28.01.1981 г.

2. Федеральный закон от 19.12.2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»

3. Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»

4. Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»

5. Федеральный закон от 06.04.2011 г. № 63-ФЗ «Об электронной подписи»

6. Федеральный закон от 21.11.2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»

7. Федеральный закон от 07.05.2013 г.№ 99-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных» и Федерального закона «О персональных данных»

8. Федеральный закон от 21.07.2014 г. № 242-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях» (начало действия с 01.09.2015 г.)

 

9. Федеральный закон от 26 июля 2017 г. N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации"

 

 1. Постановление Правительства от 06.07.2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»

2. Постановление Правительства от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»

3. Постановление Правительства от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

 

4. Постановление Правительства РФ от 8 февраля 2018 г. N 127 "Об утверждении Правил категорирования объектов критической информационной инфраструктуры Российской Федерации, а также перечня показателей критериев значимости объектов критической информационной инфраструктуры Российской Федерации и их значений"

 

 1. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждены ФСТЭК России14.02.2008 г.

2. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных», утверждены ФСТЭК России15.02.2008 г.

3. Приказ ФСТЭК России от 11.02.2013 г.№ 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»

4. Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

5. «Методический документ. Меры защиты информации в государственных информационных системах», утверждены ФСТЭК России 11.02.2014 г.

 

 1. Приказ ФАПСИ при Президенте Российской Федерации от 13.06.2001 г. № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»

2. Приказ ФСБ России от 09.02.2005 г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)»

3. «Типовые требования по организации функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну в случае их использования для использования для обеспечения 
безопасности персональных данных при их обработке в информационных системах персональных данных», утверждены руководством 8 Центра ФСБ России от 21.02.2008 г.№ 149/6/6-622(носят рекомендательный характер) 

4. «Методические рекомендации по обеспечению безопасности персональных данных с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации», утверждены руководством 8 Центра ФСБ России от 21.02.2008 г.№ 149/54-144(носят рекомендательный характер) 

5. «Типовой регламент проведения в пределах полномочий мероприятий по контролю (надзору) за выполнением требований, установленных Правительством Российской Федерации, к обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержден руководством 8 Центра ФСБ России от 08.08.2009 г.№ 149/7/2/6-1173

 

6. Приказ ФСБ России от 10.07.2014 г.№ 378 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»

7. «Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности персональных данных, актуальные при обработке персональных данных в информационных системах персональных данных, эксплуатируемых при осуществлении соответствующих видов деятельности», утверждены руководством 8 Центра ФСБ России от 31.03.2015 г. №149/7/2/6-432

 

8. Приказ ФСБ России от 24 июля 2018 г. N 367 "Об утверждении Перечня информации, представляемой в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации и Порядка представления информации в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации"

 

9. Приказ ФСБ России от 19 июня 2019 г. N 282 "Об утверждении Порядка информирования ФСБ России о компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации"

 

 1. Приказ Роскомнадзора от 16.07.2010 г. № 482 «Об утверждении образца формы уведомления об обработке персональных данных»

2. Приказ Минкомсвязи России от 14.11.2011 г.№ 312 «Об утверждении Административного регламента исполнения Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций государственной функции по осуществлению государственного контроля (надзора) за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных»

3. Приказ Минкомсвязи России от 21.12.2011 г.№ 346 «Об утверждении Административного регламента Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по предоставлению государственной услуги «Ведение реестра операторов, осуществляющих обработку персональных данных»

4. Приказ Роскомнадзора от 03.12.2012 г. № 1255 «Об утверждении Положения об обработке и защите персональных данных в центральном аппарате Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций»

5. «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве», разъяснения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 14.12.2012 г.

6. Приказ Роскомнадзора от 15.03.2013 г. № 274 «Об утверждении перечня иностранных государств, не являющихся сторонами Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных и обеспечивающих адекватную защиту прав субъектов персональных данных»

7. «О вопросах отнесения фото- и видео-изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки», разъяснения Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 30.08.2013 г.

8. Приказ Роскомнадзора от 05.09.2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»

9. «Методические рекомендации по применению приказа Роскомнадзора от 5 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных», утверждены Роскомнадзором 13.12.2013 г.

10. Временные рекомендации по заполнению формы уведомления об обработке (о намерении осуществлять обработку) персональных данных», утверждены Роскомнадзором30.12.2014 г.

11. Федеральный закон «О персональных данных»: научно-практический комментарий», под редакцией заместителя руководителя Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций А.А. Приезжаевой 2015 г.

 

12. Приказ Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций от 24 февраля 2021 г. N 18 “Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения”

---

УТВЕРЖДЕНО приказом главного врача
ГАУЗ «Оренбургский областной
клинический наркологический диспансер»
от 16 марта 2022 г. № 404

ПОЛИТИКА
в отношении обработки персональных данных
в ГАУЗ «Оренбургский областной клинический наркологический диспансер»

 

1.     ОБЩИЕ ПОЛОЖЕНИЯ 

Настоящая Политика в отношении обработки персональных данных в ГАУЗ «ООКНД» (далее – Политика) разработана в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

Политика вступает в силу с момента ее утверждения главным врачом ГАУЗ «ООКНД».

Политика подлежит пересмотру в ходе периодического анализа со стороны руководства ГАУЗ «ООКНД» (далее – Учреждение), а также в случаях изменения законодательства Российской Федерации в области персональных данных.

Целью Политики является обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных Учреждением.

Положения Политики распространяются на все отношения, связанные с обработкой персональных данных, осуществляемой Учреждением как с использованием средств автоматизации, так и без использования средств автоматизации.

Политика применяется ко всем работникам Учреждения.

 

2.     ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 

Обработка персональных данных осуществляется Учреждением в следующих целях:

- принятие решения о возможности заключения трудового договора;

- осуществление трудовых взаимоотношений;

- ведение кадрового и бухгалтерского учета;

- выплата заработной платы;

- обучение (повышении квалификации) и должностной рост работников Учреждения (далее - работники);

- учет результатов исполнения должностных обязанностей;

- оформление гражданско-правовых отношений;

- ведение реестра лиц, обратившихся за медицинской помощью;

- выполнение видов деятельности, изложенных в Уставе ГАУЗ «ООКНД»;

- выполнение видов деятельности изложенных в лицензии, на осуществление медицинской деятельности;

- выполнение других задач, возлагаемых на ГАУЗ «ООКНД» законодательством Российской Федерации.

 

3.     ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 

Основанием обработки персональных данных в Учреждении являются следующие нормативные акты и документы:

– Конституция Российской Федерации;

– Трудовой кодекс Российской Федерации;

– Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

– Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;

– Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;

– Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;

– Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;

– Федеральный закон от 28.12.2013 № 400-ФЗ «О страховых пенсиях»;

– Согласия субъектов персональных данных на обработку персональных данных;

– Устав государственного автономного учреждения здравоохранения «Оренбургский областной клинический наркологический диспансер»;

– Лицензия № ЛО-56-01-002667 от 22 января 2020 года на осуществление медицинской деятельности;

– Лицензия № 2189 от 03 декабря 2015 года на осуществление образовательной деятельности;

– Лицензия № ЛО-56-02-001403 от 29 февраля 2016 года на осуществление фармацевтической деятельности;

– Лицензия № ЛО-56-03-000348 от 26 марта 2019 года на осуществление деятельности по обороту наркотических средств, психотропных веществ и их прекурсоров, культивированию наркосодержащих растений.

 

4.     ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ 

4.1.           Принципы обработки персональных данных

Обработка персональных данных осуществляется Учреждением в соответствии со следующими принципами:

– обработка персональных данных осуществляется на законной и справедливой основе;

– не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

– обработке подлежат только персональные данные, которые отвечают целям их обработки;

– содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки; обрабатываемые персональные данные не избыточны по отношению к заявленным целям их обработки;

– при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;

– обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

 

4.2.           Условия обработки персональных данных

Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, а также в случаях, когда обработка персональных данных необходима для достижения целей, предусмотренных законами РФ, для осуществления и выполнения возложенных законодательством Российской Федерации на Учреждение функций, полномочий и обязанностей.

Обработка специальных категорий персональных данных осуществляется Учреждением с соблюдением следующих условий:

– субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

– обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно.

Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные), Учреждением не обрабатываются.

 

4.3.           Передача персональных данных

Учреждение вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных (далее – поручение).

Лицо, осуществляющее обработку персональных данных по поручению Учреждения, соблюдает принципы и правила обработки персональных данных, предусмотренные настоящей Политикой. В поручении Учреждения определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, способы и цели обработки, установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также указаны требования к защите обрабатываемых персональных данных.

При поручении обработки персональных данных другому лицу ответственность перед субъектом персональных данных за действия указанного лица несет Учреждение. Лицо, осуществляющее обработку персональных данных по поручению Учреждения, несет ответственность перед Учреждением.

Учреждение вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

Трансграничная передача персональных данных субъектов персональных данных ГАУЗ «ООКНД» не осуществляется.

 

4.4.           Распространение персональных данных

Распространение персональных данных путем публикации на официальном сайте ГАУЗ «ООКНД» (https://www.narko56.ru) осуществляется с согласия субъекта персональных данных на распространение.

 

4.5.           Конфиденциальность персональных данных

Сотрудники Учреждения, получившие доступ к персональным данным, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

 

5.     ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ 

Субъект персональных данных имеет право на получение информации (далее – запрашиваемая субъектом информация), касающейся обработки его персональных данных.

Субъект персональных данных вправе требовать от Учреждения уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Запрашиваемая субъектом информация должна быть предоставлена субъекту персональных данных Учреждением в доступной форме, и в ней не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

Если субъект персональных данных считает, что Учреждение осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Учреждения в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.