Информационная безопасность
Скачать: Приказ об утверждении политики информационной безопасности ГАУЗ ООКНД
О защите персональных данных в
ГАУЗ «Оренбургский областной клинический наркологический диспансер»
Государственное автономное учреждение здравоохранения «Оренбургский областной клинический наркологический диспансер» (далее - ГАУЗ «ООКНД») ведет обработку персональных данных в соответствии с действующим законодательством РФ.
Цель и содержание обработки персональных данных определяет ГАУЗ «ООКНД», обработку персональных данных осуществляют структурные подразделения ГАУЗ «ООКНД» и уполномоченные на обработку персональных данных работники. Работники, обрабатывающие персональные данные, подписали обязательство о неразглашении информации ограниченного доступа, в том числе персональных данных и сведений, составляющих врачебную тайну и в соответствии со ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» предупреждены об ответственности за незаконную обработку персональных данных, а также за их разглашение.
Обработка персональных данных пациентов осуществляется в следующих целях:
- оформление гражданско-правовых отношений;
- ведение реестра лиц, обратившихся за медицинской помощью;
- выполнение видов деятельности изложенных в Уставе ГАУЗ «ООКНД»;
- выполнение видов деятельности изложенных в лицензии на осуществление медицинской деятельности;
- выполнение других задач, возлагаемых на ГАУЗ «ООКНД» законодательством РФ.
В целях организации обработки персональных данных, выполнения обязанностей, установленных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», обеспечения безопасности персональных данных в ГАУЗ «ООКНД» назначен ответственный за организацию обработки персональных данных.
Ответственный за организацию обработки персональных данных: Заместитель главного врача по организационно – методической работе, Карпова Елена Сергеевна.
Контакты: 460004, г. Оренбург, пер. Дорожный, д. 8, кабинет ОМР, телефон: 50-77-72, e-mail: oob10-omo@mail.orb.ru
Администратор безопасности: Специалист по защите информации, Мусаев Тимур Русланович
Контакты: 460004, г. Оренбург, пер. Дорожный, 8, телефон: 50-07-97, e-mail:
«Уведомление об обработке (о намерении осуществлять обработку) персональных данных ГАУЗ «Оренбургский областной клинический наркологический диспансер» от 21 декабря 2009 года рег. № 10-0082058 размещено на сайте: http://pd.rkn.gov.ru/operators-registry/operators-list/?id=10-0082058
3. Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»
5. Федеральный закон от 06.04.2011 г. № 63-ФЗ «Об электронной подписи»
УТВЕРЖДЕНО приказом главного врача
ГАУЗ «Оренбургский областной
клинический наркологический диспансер»
от 16 марта 2022 г. № 404
ПОЛИТИКА
в отношении обработки персональных данных
в ГАУЗ «Оренбургский областной клинический наркологический диспансер»
1. ОБЩИЕ ПОЛОЖЕНИЯ
Настоящая Политика в отношении обработки персональных данных в ГАУЗ «ООКНД» (далее – Политика) разработана в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
Политика вступает в силу с момента ее утверждения главным врачом ГАУЗ «ООКНД».
Политика подлежит пересмотру в ходе периодического анализа со стороны руководства ГАУЗ «ООКНД» (далее – Учреждение), а также в случаях изменения законодательства Российской Федерации в области персональных данных.
Целью Политики является обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных Учреждением.
Положения Политики распространяются на все отношения, связанные с обработкой персональных данных, осуществляемой Учреждением как с использованием средств автоматизации, так и без использования средств автоматизации.
Политика применяется ко всем работникам Учреждения.
2. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Обработка персональных данных осуществляется Учреждением в следующих целях:
- принятие решения о возможности заключения трудового договора;
- осуществление трудовых взаимоотношений;
- ведение кадрового и бухгалтерского учета;
- выплата заработной платы;
- обучение (повышении квалификации) и должностной рост работников Учреждения (далее - работники);
- учет результатов исполнения должностных обязанностей;
- оформление гражданско-правовых отношений;
- ведение реестра лиц, обратившихся за медицинской помощью;
- выполнение видов деятельности, изложенных в Уставе ГАУЗ «ООКНД»;
- выполнение видов деятельности изложенных в лицензии, на осуществление медицинской деятельности;
- выполнение других задач, возлагаемых на ГАУЗ «ООКНД» законодательством Российской Федерации.
3. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Основанием обработки персональных данных в Учреждении являются следующие нормативные акты и документы:
– Конституция Российской Федерации;
– Трудовой кодекс Российской Федерации;
– Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;
– Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
– Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;
– Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;
– Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
– Федеральный закон от 28.12.2013 № 400-ФЗ «О страховых пенсиях»;
– Согласия субъектов персональных данных на обработку персональных данных;
– Устав государственного автономного учреждения здравоохранения «Оренбургский областной клинический наркологический диспансер»;
– Лицензия № ЛО-56-01-002667 от 22 января 2020 года на осуществление медицинской деятельности;
– Лицензия № 2189 от 03 декабря 2015 года на осуществление образовательной деятельности;
– Лицензия № ЛО-56-02-001403 от 29 февраля 2016 года на осуществление фармацевтической деятельности;
– Лицензия № ЛО-56-03-000348 от 26 марта 2019 года на осуществление деятельности по обороту наркотических средств, психотропных веществ и их прекурсоров, культивированию наркосодержащих растений.
4. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Принципы обработки персональных данных
Обработка персональных данных осуществляется Учреждением в соответствии со следующими принципами:
– обработка персональных данных осуществляется на законной и справедливой основе;
– не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
– обработке подлежат только персональные данные, которые отвечают целям их обработки;
– содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки; обрабатываемые персональные данные не избыточны по отношению к заявленным целям их обработки;
– при обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
– обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
4.2. Условия обработки персональных данных
Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, а также в случаях, когда обработка персональных данных необходима для достижения целей, предусмотренных законами РФ, для осуществления и выполнения возложенных законодательством Российской Федерации на Учреждение функций, полномочий и обязанностей.
Обработка специальных категорий персональных данных осуществляется Учреждением с соблюдением следующих условий:
– субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
– обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно.
Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные), Учреждением не обрабатываются.
4.3. Передача персональных данных
Учреждение вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных (далее – поручение).
Лицо, осуществляющее обработку персональных данных по поручению Учреждения, соблюдает принципы и правила обработки персональных данных, предусмотренные настоящей Политикой. В поручении Учреждения определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, способы и цели обработки, установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также указаны требования к защите обрабатываемых персональных данных.
При поручении обработки персональных данных другому лицу ответственность перед субъектом персональных данных за действия указанного лица несет Учреждение. Лицо, осуществляющее обработку персональных данных по поручению Учреждения, несет ответственность перед Учреждением.
Учреждение вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
Трансграничная передача персональных данных субъектов персональных данных ГАУЗ «ООКНД» не осуществляется.
4.4. Распространение персональных данных
Распространение персональных данных путем публикации на официальном сайте ГАУЗ «ООКНД» (https://www.narko56.ru) осуществляется с согласия субъекта персональных данных на распространение.
4.5. Конфиденциальность персональных данных
Сотрудники Учреждения, получившие доступ к персональным данным, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
5. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
Субъект персональных данных имеет право на получение информации (далее – запрашиваемая субъектом информация), касающейся обработки его персональных данных.
Субъект персональных данных вправе требовать от Учреждения уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
Запрашиваемая субъектом информация должна быть предоставлена субъекту персональных данных Учреждением в доступной форме, и в ней не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
Если субъект персональных данных считает, что Учреждение осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Учреждения в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
6. ОБЯЗАННОСТИ ГАУЗ «ООКНД»
6.1. Меры, направленные на обеспечение выполнения Учреждением своих обязанностей
При сборе персональных данных Учреждение предоставляет субъекту персональных данных по его просьбе запрашиваемую информацию, касающуюся обработки его персональных данных в соответствии с частью 7 статьи 14 Федерального закона «О персональных данных».
Если предоставление персональных данных является обязательным в соответствии с федеральным законом, Учреждение разъясняет субъекту персональных данных юридические последствия отказа предоставить его персональные данные.
Местонахождение центра(ов) обработки данных и сведения об организации, ответственной за хранение данных, определены внутренними документами Учреждения.
Учреждение самостоятельно определяет состав и перечень принимаемых мер, необходимых и достаточных для обеспечения выполнения своих обязанностей. К таким мерам, в частности, относятся:
1) назначение ответственного за организацию обработки персональных данных;
2) издание Политики, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных требованиям к защите персональных данных, Политике, локальным актам Учреждения;
5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых Учреждением мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных»;
6) ознакомление сотрудников Учреждения, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, Политикой, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
6.2. Обязанности Учреждения при обращении субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных
Учреждение сообщает в установленном порядке субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к этому субъекту персональных данных, а также предоставляет возможность ознакомления с этими персональными данными при обращении субъекта персональных данных или его законного представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его законного представителя.
Учреждение предоставляет безвозмездно субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, Учреждение вносит в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления субъектом персональных данных или его законным представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Учреждение уничтожает такие персональные данные. Учреждение уведомляет субъекта персональных данных или его законного представителя о внесенных изменениях и предпринятых мерах и принимает разумные меры для уведомления третьих лиц, которым персональные данные этого субъекта были переданы.
Учреждение сообщает в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.
6.3. Уведомление об обработке персональных данных
Учреждение, за исключением случаев, предусмотренных Федеральным законом «О персональных данных», до начала обработки персональных данных уведомляет уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.
Уведомление направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом. Уведомление содержит следующие сведения:
1) наименование (фамилия, имя, отчество), адрес Учреждения;
2) цель обработки персональных данных;
3) категории персональных данных;
4) категории субъектов, персональные данные которых обрабатываются;
5) правовое основание обработки персональных данных;
6) перечень действий с персональными данными, общее описание используемых Учреждением способов обработки персональных данных;
7) описание мер, в том числе сведения о наличии шифровальных (криптографических) средств и наименования этих средств;
8) фамилия, имя, отчество физического лица или наименование юридического лица, ответственных за организацию обработки персональных данных, и номера их контактных телефонов, почтовые адреса и адреса электронной почты;
9) дата начала обработки персональных данных;
10) срок или условие прекращения обработки персональных данных;
11) сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;
12) сведения о месте нахождения базы данных информации, содержащей персональные данные граждан Российской Федерации;
13) сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством Российской Федерации.
В случае изменения указанных сведений, а также в случае прекращения обработки персональных данных Учреждение уведомляет об этом уполномоченный орган по защите прав субъектов персональных данных в течение десяти рабочих дней с даты возникновения таких изменений или с даты прекращения обработки персональных данных.
7. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ
Учреждение при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
Правовые меры:
- заключение соглашений об информационном обмене с взаимодействующими организациями и включение в них требований об обеспечении конфиденциальности и безопасности предоставляемых персональных данных;
- издание локальных актов и документов ГАУЗ «ООКНД», рекомендаций и инструкций по вопросам обработки персональных данных, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.
Организационные меры:
- документальное оформление требований к безопасности обрабатываемых персональных данных;
- назначение лица, ответственного за организацию обработки персональных данных;
- назначение лица, ответственного за организацию защиты персональных данных;
- издание системы нормативных (руководящих) документов по организации защиты данных;
- распределение ответственности по вопросам защиты данных между работниками ГАУЗ «ООКНД»;
- установление персональной ответственности работников ГАУЗ «ООКНД» за обеспечение безопасности обрабатываемых данных;
- контроль выполнения структурными подразделениями, работниками ГАУЗ «ООКНД» требований нормативных документов по защите персональных данных;
- своевременное выявление угроз безопасности персональных данных и принятие соответствующих мер защиты;
- организация системы обучения требованиям защиты информации работников ГАУЗ «ООКНД»;
- доведение до работников ГАУЗ «ООКНД» требований по защите персональных данных.
Технические (программно и аппаратно реализуемые) меры:
- резервное копирование информационных ресурсов;
- применение прикладных программных продуктов, отвечающих требованиям защиты данных;
- организация контроля доступа в помещения и здания ГАУЗ «ООКНД», их охрана в нерабочее время;
- систематический анализ безопасности данных и совершенствование системы их защиты;
- применение технических средств защиты, сертифицированных компетентными государственными органами (организациями) на соответствие требованиям безопасности;
- своевременное применение критических обновлений общесистемного и прикладного программного обеспечения;
- оптимальная настройка операционной системы и прикладного программного обеспечения вычислительных средств, применяемых для обработки данных;
- разделение прав доступа к информационным системам персональных данных путем применения многоуровневой системы парольного доступа;
- использование корпоративной информационно-телекоммуникационной сети для обеспечения информационного взаимодействия с медицинскими организациями Оренбургской области;
- шифрование данных при передаче и хранении (криптографическая защита);
- использование электронной подписи;
- применение межсетевых защитных (фильтрующих) экранов;
- антивирусный мониторинг;
- оборудование здания и помещений системами безопасности (пожарной и охранной сигнализации, пожаротушения, телевизионного наблюдения);
- хранение парольной и ключевой информации на индивидуальных электронных ключах;
- противопожарная защита зданий и помещений.
8. СФЕРЫ ОТВЕТСТВЕННОСТИ
Лица, виновные в нарушении требований Федерального закона «О персональных данных», несут предусмотренную законодательством Российской Федерации ответственность.
Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», а также требований к защите персональных данных, установленных в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
Настоящая Политика является внутренним документом ГАУЗ «ООКНД», является общедоступной и подлежит размещению на официальном сайте ГАУЗ «ООКНД» - https://www.narko56.ru.
Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов Российской Федерации и специальных нормативных документов по обработке и защите персональных данных;
Контроль исполнения требований настоящей Политики осуществляется ответственным за обеспечение безопасности персональных данных в ГАУЗ «ООКНД».