Информационная безопасность

1. ОБЩИЕ ПОЛОЖЕНИЯ

 

Настоящая Политика в отношении обработки персональных данных в ГАУЗ «ООКНД» (далее – Политика) разработана в соответствии с Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

Политика вступает в силу с момента ее утверждения главным врачом ГАУЗ «ООКНД».

Политика подлежит пересмотру в ходе периодического анализа со стороны специалиста по защите информации ГАУЗ «ООКНД», работников ответственных за обработку персональных данных в ГАУЗ «ООКНД», а также в случаях изменения законодательства Российской Федерации в области персональных данных.

Целью Политики является обеспечение защиты прав и свобод субъектов персональных данных при обработке их персональных данных ГАУЗ «ООКНД».

Положения Политики распространяются на все отношения, связанные с обработкой персональных данных, осуществляемой ГАУЗ «ООКНД» как с использованием средств автоматизации, так и без использования средств автоматизации, за исключением архивных документов, обработка которых осуществляется в соответствии с законодательством об архивном деле, документов, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

Политика применяется ко всем работникам ГАУЗ «ООКНД».

 

2. ОСНОВНЫЕ ПОНЯТИЯ

 

-       персональные данные (далее - ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПДн);

-   персональные данные, разрешенные субъектом ПДн для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом ПДн путем дачи согласия на обработку ПДн, разрешенных субъектом ПДн для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 №152 – ФЗ «О персональных данных»;

-      оператор ПДн – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку ПДн, а также определяющее цели обработки ПДн, состав ПДн, подлежащих обработке, действия (операции), совершаемые с персональными данными;

-    обработка ПДн – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПДн;

-       автоматизированная обработка ПДн – обработка ПДн с помощью средств вычислительной техники;

-       распространение ПДн – действия, направленные на раскрытие ПДн неопределенному кругу лиц;

-       предоставление ПДн – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;

-     блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения ПДн);

-  уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе ПДн и (или) в результате которых уничтожаются материальные носители ПДн;

-   обезличивание ПДн – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту ПДн;

-   информационная система ПДн – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств;

-   трансграничная передача ПДн – передача ПДн на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу;

-   веб-сайт — совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу;

-      пользователь — любой посетитель веб-сайта;

-   файлы cookie – это небольшие файлы данных, которые размещаются на компьютере пользователя или мобильном устройстве пользователя при посещении веб-сайта. Файлы cookie используются владельцем веб-сайта и мобильных приложений для обеспечения или повышения их работоспособности, а также для сбора отчетной информации.

 

3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

В ГАУЗ «ООКНД» обработка ПДн осуществляется в следующих целях:

-       регулирование трудовых отношений с работниками ГАУЗ «ООКНД», в том числе ведение кадрового, бухгалтерского учета, выполнение требований Налоговой службы Российской Федерации, Социального фонда России, требований воинского учета и пр.;

-  осуществление медицинской деятельности, а именно оказание медицинской помощи, медицинских и медико-профилактических услуг населению, медицинских консультаций, в рамках лицензий, на осуществление медицинской деятельности;

-     осуществление ГАУЗ «ООКНД» деятельности в целях выполнения распоряжений и указаний, возложенных министерством здравоохранения Оренбургской области, установленных законодательством РФ;

-     ведение образовательной деятельности;

-     анализ статистики посещения веб-сайта;

-     выполнение прочих видов деятельности, изложенных в Уставе ГАУЗ «ООКНД».

 

4. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

Основанием обработки ПДн в ГАУЗ «ООКНД» являются следующие нормативные акты и документы:

-       Конституция Российской Федерации;

-       Трудовой кодекс Российской Федерации;

-       Федеральный закон от 27.07.2006 № 152-ФЗ «О Персональных данных»;

-       Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;

-       Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;

-       Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;

-      Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;

-       Федеральный закон от 28.12.2013 № 400-ФЗ «О страховых пенсиях»;

-       Согласия субъектов ПДн на обработку ПДн;

-  Устав государственного автономного ГАУЗ «ООКНД» здравоохранения «Оренбургский областной клинический наркологический диспансер»;

-       Лицензия № Л041-01022-56/00361461 от 22 января 2020 года на осуществление медицинской деятельности;

-       Лицензия № Л035-01248-56/00207154 от 03 декабря 2015 года на осуществление образовательной деятельности;

-       Лицензия № Л042-01022-56/00162635 от 29 февраля 2016 года на осуществление фармацевтической деятельности;

-      Лицензия № Л017-01022-56/00147639 от 26 марта 2019 года на осуществление деятельности по обороту наркотических средств, психотропных веществ и их прекурсоров, культивированию наркосодержащих растений.

 

5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПДН

 

5.1.           Принципы обработки ПДн

Обработка ПДн осуществляется ГАУЗ «ООКНД» в соответствии со следующими принципами:

-      обработка ПДн осуществляется на законной и справедливой основе;

-    не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

-     обработке подлежат только ПДн, которые отвечают целям их обработки;

-    содержание и объем обрабатываемых ПДн соответствуют заявленным целям обработки; обрабатываемые ПДн не избыточны по отношению к заявленным целям их обработки;

-    при обработке ПДн обеспечиваются точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн;

-    хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем того требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;

-       обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

 

5.2.           Перечень субъектов, ПДн которых обрабатываются в ГАУЗ «ООКНД»

-       Работники ГАУЗ «ООКНД»;

-       Соискатели на вакантную должность в ГАУЗ «ООКНД»;

-       Граждане, обратившиеся в ГАУЗ «ООКНД»:

• за получением платных медицинских услуг;
• за консультациями через официальный веб-сайт ГАУЗ «ООКНД» (далее - пользователи веб-сайта) https://www.narko56.ru/.

-       Граждане, направленные на прохождение процедуры медицинского освидетельствования на состояние опьянения.

-       Граждане, получающие образовательные услуги.

 

5.3.           Перечень ПДн, которые обрабатываются в ГАУЗ «ООКНД»

Персональные данные, которые обрабатываются в целях регулирования трудовых отношений с работниками ГАУЗ «ООКНД», в том числе ведения кадрового, бухгалтерского учета, выполнения требований Налоговой службы Российской Федерации, Социального фонда России, требований воинского учета и пр.:

-       паспортные данные;

-       сведения о трудовой деятельности;

-       документы воинского учета;

-       сведения об образовании;

-       контактные данные (телефонный номер, электронная почта);

-       идентификационный номер налогоплательщика;

-       данные входящие в свидетельство о рождении ребенка;

-       страховой номер индивидуального лицевого счета;

-       гражданство;

-       сведения об уплаченных взносах;

ПДн, которые попадают под категорию специальных ПДн:

-       данные в листах нетрудоспособности: вид нетрудоспособности, наименование медицинской организации, специальность врача.

-       данные в заключениях предварительного (периодического) медицинского осмотра (обследования): группа здоровья.

Персональные данные, которые обрабатываются осуществление медицинской деятельности, а именно оказание медицинской помощи, медицинских и медико-профилактических услуг населению, медицинских консультаций, медицинского освидетельствования в рамках лицензий, на осуществление медицинской деятельности:

-       паспортные данные

-       реквизиты документа, подтверждающего факт страхования по ОМС,

-       страховой номер индивидуального лицевого счета;

-       контактные данные (телефонный номер, электронная почта);

-       ПДн, которые попадают под категорию специальных ПДн:

-       данные о состоянии здоровья пациента;

-       условия, сроки, результат, вид, форма оказания медицинской помощи и т.д.;

ПДн, которые обрабатываются, в целях получений консультаций гражданами через официальный веб-сайт:

-       ФИО;

-       прочая информация, которую сообщает пользователь веб-сайта в теле сообщения.

ПДн, которые обрабатываются, в целях анализа статистики посещения веб-сайта:

-       файлы cookie.

ПДн, которые обрабатываются, в целях получения образовательных услуг:

-       паспортные данные;

-       сведения об образовании;

-       контактные данные (телефонный номер, электронная почта).

 

Обработка специальных категорий ПДн, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений в ГАУЗ «ООКНД» не осуществляется.

Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные), ГАУЗ «ООКНД» не обрабатываются.

Обработка ПДн, разрешенных субъектом ПДн для распространения, осуществляется в ГАУЗ «ООКНД» на основании согласия субъекта ПДн на распространение с соблюдением установленных субъектом ПДн запретов и условий на обработку ПДн.

 

5.4.           Перечень действий с ПДн и способы их обработки в ГАУЗ «ООКНД»

ГАУЗ «ООКНД» осуществляет сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление и уничтожение ПДн.

Обработка ПДн в ГАУЗ «ООКНД» осуществляется следующими способами:

-       неавтоматизированная обработка ПДн;

-       автоматизированная обработка ПДн с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;

-       смешанная обработка ПДн.

 

5.5.           Сроки хранения ПДн в ГАУЗ «ООКНД»

Сроки хранения документов на бумажных носителях или в электронном виде, которые образуются в процессе деятельности ГАУЗ «ООКНД» определяются в соответствии с:

-  «Перечень форм первичной медицинской документации учреждений здравоохранения», утвержденный Приказом Минздрава РСФСР от 04.09.1980г. № 1030.

-      Приказ Федерального архивного агентства от 20 декабря 2019 г. N 236 "Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения»

-       Номенклатура дел ГАУЗ «ООКНД», утверждаемая главным врачом ГАУЗ «ООКНД»

Общий срок хранения ПДн, которые обрабатываются в целях регулирования трудовых отношений с работниками ГАУЗ «ООКНД», в том числе ведение кадрового, бухгалтерского учета, выполнение требований Налоговой службы Российской Федерации, Социального фонда России, воинского учета и пр., составляет – 50 лет

При этом ПДн, которые попадают под категорию специальных ПДн:

-     данные в листах нетрудоспособности: вид нетрудоспособности, наименование медицинской организации, специальность врача – 5 лет.

-      данные в заключениях предварительного (периодического) медицинского осмотра (обследования): группа здоровья – 50 лет.

Общий срок хранения ПДн, которые обрабатываются, в целях осуществление медицинской деятельности, а именно оказания медицинской помощи, медицинских и медико-профилактических услуг населению, медицинских консультаций, составляет – 25 лет.

 

5.6.           Условия обработки ПДн

Обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн, а также в случаях, когда обработка ПДн необходима для достижения целей, предусмотренных законами РФ, для осуществления и выполнения возложенных законодательством Российской Федерации на ГАУЗ «ООКНД» функций, полномочий и обязанностей.

Обработка специальных категорий ПДн осуществляется ГАУЗ «ООКНД» с соблюдением следующих условий:

-       субъект ПДн дал согласие в письменной форме на обработку своих ПДн;

-      обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПДн либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта ПДн невозможно.

ГАУЗ «ООКНД» без согласия субъекта ПДн не раскрывает третьим лицам и не распространяет ПДн, если иное не предусмотрено федеральным законом от 27 июля 2006 г. № 152-ФЗ «Об обработке ПДн».

ГАУЗ «ООКНД» вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн на основании заключаемого с этим лицом договора. Договор должен содержать перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку ПДн, цели обработки, обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также требования к защите обрабатываемых ПДн в соответствии со статьей 19 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О Персональных данных».

Доступ к обрабатываемым в ГАУЗ «ООКНД» ПДн разрешается только работникам ГАУЗ «ООКНД», занимающим должности, включенные в перечень должностей, при замещении которых осуществляется обработка ПДн.

 

5.7.           Передача ПДн

ГАУЗ «ООКНД» вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн (далее – поручение).

Лицо, осуществляющее обработку ПДн по поручению ГАУЗ «ООКНД», соблюдает принципы и правила обработки ПДн, предусмотренные законодательством Российской Федерации в области защиты ПД, а так же настоящей Политикой. В поручении ГАУЗ «ООКНД» определены перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, способы и цели обработки, установлена обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также указаны требования к защите обрабатываемых ПДн.

При поручении обработки ПДн другому лицу ответственность перед субъектом ПДн за действия указанного лица несет ГАУЗ «ООКНД». Лицо, осуществляющее обработку ПДн по поручению ГАУЗ «ООКНД», несет ответственность перед ГАУЗ «ООКНД».

Файлы cookie, получаемые от пользователя веб-сайта, посредством сервиса веб-аналитики Яндекс Метрика, передается ООО «Яндекс» и хранится на серверах ООО «Яндекс» в Российской Федерации.

ГАУЗ «ООКНД» вправе передавать ПДн органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.

Трансграничная передача ПДн ГАУЗ «ООКНД» не осуществляется.

 

6. ПРАВА СУБЪЕКТОВ ПДН

 

Субъект ПДн имеет право на получение информации (далее – запрашиваемая субъектом информация), касающейся обработки его ПДн (в течение десяти рабочих дней с момента обращения либо получения ГАУЗ «ООКНД» запроса субъекта ПДн или его законного представителя).

Субъект ПДн имеет право на доступ к своим ПДн, включая право на получение копии любой записи, содержащей их ПДн, за исключением случаев, предусмотренных федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

Субъект ПДн вправе требовать от ГАУЗ «ООКНД» уточнения его ПДн, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Субъект ПДн имеет право на отзыв согласия на обработку ПДн.

Если субъект ПДн считает, что ГАУЗ «ООКНД» осуществляет обработку его ПДн с нарушением требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействие ГАУЗ «ООКНД» в уполномоченный орган по защите прав субъектов ПДн или в судебном порядке.

 

7. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПДН ПРИ ИХ ОБРАБОТКЕ

 

ГАУЗ «ООКНД» принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Российской Федерации и локальных нормативных актов ГАУЗ «ООКНД» в области ПДн:

-       назначает ответственного за организацию обработки ПДн;

-     издает Политики, локальные акты по вопросам обработки ПДн, а также локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

-      принимает правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн;

-   осуществляет ознакомление работников ГАУЗ «ООКНД», непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации и локальных нормативных актов ГАУЗ «ООКНД» в области ПДн, в том числе с требованиями к защите ПДн;

-     осуществляет внутренний контроль и (или) аудит соответствия обработки ПДн требованиям законодательства по защите ПДн, Политике, локальным актам ГАУЗ «ООКНД»;

-     оценивает вред, который может быть причинен субъектам ПДн в случае нарушения Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», соотношение указанного вреда и принимаемых ГАУЗ «ООКНД» мер, направленных на обеспечение выполнения обязанностей;

-     публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике посредством сети Интернет;

-   получает согласия субъектов ПДн на обработку их ПДн, за исключением случаев, предусмотренных законодательством Российской Федерации;

-   осуществляет хранение материальных носителей ПДн с соблюдением условий, обеспечивающих сохранность ПДн и исключающих несанкционированный доступ к ним;

-      обеспечивает раздельное хранения ПДн и их материальных носителей, обработка которых осуществляется в разных целях и которые содержат разные категории ПДн;

-   обеспечивает безопасность ПДн при их передаче по открытым каналам связи, посредством применения средств криптографической защиты информации;

-      сообщает в установленном порядке субъектам ПДн или их представителям информацию о наличии ПДн, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими ПДн при обращении и (или) поступлении запросов указанных субъектов ПДн или их представителей, если иное не установлено законодательством Российской Федерации;

-      прекращает обработку и уничтожает ПДн в случаях, предусмотренных законодательством Российской Федерации в области ПДн;

-       совершает иные действия, предусмотренные законодательством Российской Федерации в области ПДн.

 

Меры по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, устанавливаются в соответствии с локальными нормативными актами ГАУЗ «ООКНД».

 

8. СФЕРЫ ОТВЕТСТВЕННОСТИ

 

Лица, виновные в нарушении требований Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», несут предусмотренную законодательством Российской Федерации ответственность.

Моральный вред, причиненный субъекту ПДн вследствие нарушения его прав, нарушения правил обработки ПДн, установленных Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», а также требований к защите ПДн, установленных в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ -ФЗ «О персональных данных», подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом ПДн убытков.

 

9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

 

Настоящая Политика является внутренним документом ГАУЗ «ООКНД», является общедоступной и подлежит размещению на официальном сайте ГАУЗ «ООКНД» - https://www.narko56.ru.

Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов Российской Федерации и специальных нормативных документов по обработке и защите ПДн.

Внутренний контроль за соблюдением структурными подразделениями ГАУЗ «ООКНД» и филиалами законодательства Российской Федерации и локальных нормативных актов ГАУЗ «ООКНД» в области ПДн, в том числе требований к защите ПДн, осуществляется лицами, ответственными за организацию обработки ПДн в ГАУЗ «ООКНД».

Внутренний контроль соответствия обработки ПДн Федеральному закону от 27 июля 2006 г. № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, настоящей Политике, локальным нормативным актам ГАУЗ «ООКНД», осуществляет специалист по защите информации ГАУЗ «ООКНД».