Политика обработки персональных данных в структурном подразделении ФГБУ ПОО «ГУОР по хоккею» -Поликлиника («Центр клинической и восстановительной медицины «Феникс»)

1. Общие положения
1.1. Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в структурном подразделении ФГБУ ПОО «ГУОР по хоккею» – Поликлиника («Центр клинической и восстановительной медицины «Феникс»), включая пациентов и их законных представителей с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, гарантируемых Конституцией.
1.2. Политика обработки персональных данных разработана в соответствии с Федеральными законами от 27.07.2006 № 152-ФЗ «О персональных данных» и от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»; постановлениями Правительства от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; приказом ФСТЭК от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
1.3. Настоящая Политика раскрывает принципы, порядок и условия обработки персональных данных физических лиц при обращении за медицинской помощью в ФГБУ ПОО «ГУОР по хоккею».
2. Категории обрабатываемых персональных данных
2.1. Персональные данные пациентов (лиц, являющихся стороной договора на оказание медицинских услуг), которые подлежат обработке:
– фамилия, имя, отчество;
– дата и место рождения;
– пол (мужской, женский);
– адрес регистрации и проживания;
– гражданство;
– контактный телефон;
– семейное положение;
– фамилия, имя, отчество ближайших родственников, год рождения, степень родства;
– номер основного документа, удостоверяющего личность, сведения о дате выдачи указанного документа и выдавшем его органе;
– информация о состоянии здоровья, наличии или отсутствии заболеваний, перечисленных в анкете о здоровье пациента, оформляемой в процессе сбора анамнеза.
– социальные льготы;
– фото и видео изображения;
2.2. Перечень формируемых документов при обращении пациента предусматривается Гражданским кодексом, Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», постановлением Правительства от 04.10.2012 № 1006 «Об утверждении правил предоставления медицинскими организациями платных медицинских услуг», приказом Минздравсоцразвития от 14.09.2020 № 972н «Об утверждении порядка выдачи медицинскими организациями справок и медицинских заключений».
3. Цели и сроки обработки персональных данных
3.1. Цели обработки персональных данных пациентов, обратившихся в учреждение:
– исполнение договора на оказание медицинских услуг, стороной которого является пациент;
– медико-профилактические цели (установление медицинского диагноза, оказание медицинских услуг, контроль качества оказания медицинской помощи и др.).
3.2. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в их достижении (ст. 5 Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующими изменениями)).
3.3. Персональные данные могут храниться на бумажном, электронных носителях в специально предназначенных для этого помещениях, определённых приказом директора Учреждения.
3.4. В процессе хранения персональных данных субъектов персональных данных необходимо обеспечивать:
требования законодательства, устанавливающие правила хранения конфиденциальных сведений;
сохранность имеющихся данных, ограничение доступа к ним в соответствии с законодательством Российской Федерации и настоящим Положением;
контроль за достоверностью и полнотой персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений.
4. Принципы и условия обработки персональных данных
4.1. Обработка персональных данных в учреждении производится на основе следующих принципов:
– законности и справедливости целей и способов обработки;
– ограничения обработки персональных данных достижением конкретных, заранее определённых и законных целей;
– недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
– недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
– обработки только тех персональных данных, которые отвечают целям их обработки;
– соответствия содержания и объёма обрабатываемых персональных данных заявленным целям обработки;
– недопущения обработки избыточных персональных данных по отношению к заявленным целям их обработки;
– уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей.
4.2. Учреждение обрабатывает персональные данные только при наличии хотя бы одного из следующих условий:
– обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
– обработка персональных данных необходима для достижения целей, предусмотренных законом (подп. 4 п. 2 ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ);
– обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
– обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных;
– производится обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (общедоступные данные);
– обрабатываются персональные данные, подлежащие опубликованию или обязательному раскрытию в соответствии с федеральным законом;
– обработка персональных данных производится в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.
4.3. Учреждение и иные лица, получившие доступ к персональным данным в силу трудовых обязанностей, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
5. Права субъекта персональных данных
5.1. Субъекты персональных данных имеют право на:
бесплатное получение полной информации о своих персональных данных и обработке этих данных;
свободный бесплатный доступ к своим персональным данным, в том числе на получение копий любой записи, содержащей персональные данные субъекта, за исключением случаев, предусмотренных федеральным законом;
определение своих представителей для защиты своих персональных данных;
требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований закона. При отказе оператора исключить или исправить персональные данные он имеет право заявить в письменной форме оператору о своём несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера субъект персональных данных имеет право дополнить заявлением, выражающим его собственную точку зрения;
требование об извещении оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведённых в них исключениях, исправлениях или дополнениях;
обжалование в суд любых неправомерных действий или бездействия оператора при обработке и защите его персональных данных.
5.2. Субъекты персональных данных не должны отказываться от своих прав на сохранение и защиту тайны.
5.3. Ближайшие родственники, законные представители пациента имеют право на:
обеспечение конфиденциальности их персональных данных;
доступ к их персональным данным и информации, касающейся обработки их персональных данных;
требование об изменении или уничтожении неполных, неточных или неактуальных для заявленных целей обработки персональных данных;
обжалование действий или бездействий оператора (ст. 7, 14, 17, 20 Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующими изменениями)).
6. Обеспечение безопасности персональных данных
6.1.Защита персональных данных субъектов персональных данных представляет собой регламентированный технологический, организационный и иной процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных субъектов персональных данных и обеспечивающий надёжную безопасность информации.
6.2. Защита персональных данных субъектов персональных данных от неправомерного их использования или утраты обеспечивается оператором за счёт его средств в порядке, установленном федеральным законом (ст. 86 Трудового кодекса Российской Федерации).
6.3. Оператор при обработке персональных данных принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
6.4. Оператор обязан принимать меры, направленные на обеспечение им обязанностей, предусмотренных Федеральным законом Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующими изменениями). Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено федеральными законами. К таким мерам относятся:
назначение оператором ответственного за организацию обработки персональных данных;
издание оператором документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
осуществление внутреннего контроля соответствия обработки персональных данных настоящему Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным актам оператора;
оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующими изменениями), соотношение указанного вреда и принимаемых оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных указанным Федеральным законом;
ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников (ст. 18.1 Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующими изменениями)).
6.5. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор обязан опубликовать на официальном сайте Учреждения в сети Интернет документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу (ст. 18.1 Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующими изменениями)).
6.6. Обеспечение безопасности персональных данных достигается (ст. 19 Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующими изменениями)):
определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
учётом носителей персональных данных;
обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учёта всех действий, совершаемых с персональными данными в информационной системе персональных данных;
контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
6.7. Защита сведений, хранящихся в персональных компьютерах оператора, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий, обеспечивается разграничением прав доступа с использованием учётной записи и системой паролей.
6.8. Для обеспечения внешней защиты персональных данных Учреждение обеспечивает порядок приёма, учёта и контроля деятельности посетителей; обеспечивает охрану территории, зданий, помещений, транспортных средств.
6.8.Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны подписать обязательство о неразглашении персональных данных.
6.9. Все лица, связанные с получением, обработкой и защитой персональных данных, в случае расторжения с ними трудового договора или перевода на должность, не связанную с обработкой персональных данных обязаны подписать обязательство сотрудника прекратить обработку персональных данных, ставших известными ему в связи с исполнением должностных обязанностей .
6.10.Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий даются в письменной форме на бланке Учреждения и в том объёме, который позволяет не разглашать излишний объем персональных сведений о субъектах персональных данных.
6.11. Передача информации, содержащей сведения о персональных данных пациентов по телефону, факсу, электронной почте без письменного согласия субъекта персональных данных запрещается (за исключением персональных данных, сделанных общедоступными субъектом персональных данных).
6.12. В срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. Оператор обязан уведомить субъекта персональных данных или его представителя о внесённых изменениях и предпринятых мерах (ст. 20 Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующими изменениями)).
6.13. При выявлении неправомерных действий с персональными данными оператор обязан устранить допущенные нарушения, блокировав персональные данные в сроки, установленные статьёй 21 Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующими изменениями).
6.14.В случае невозможности устранения допущенных нарушений оператор не более чем через три рабочих дня с даты выявления неправомерности действий с персональными данными обязан уничтожить персональные данные (ст. 21 Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных»).
6.15.В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных (приложение 8 к Положению) оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению работодателя) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, является субъект персональных данных, иным соглашением между оператором и субъектом персональных данных либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законодательством. (ст. 21 Федерального закона Российской Федерации от 27 июля 2006 года №152-ФЗ «О персональных данных» (с последующими изменениями)).
7. Уничтожение персональных данных
7.1. Уничтожение документов, содержащих персональные данные, производится:
– по достижении целей их обработки;
– по достижении окончания срока хранения персональных данных, оговорённого в соответствующем согласии заинтересованных сторон; в том числе, если они не подлежат архивному хранению.
7.2. Уничтожение документов, содержащих персональные данные, производится в случае выявления неправомерной обработки персональных данных в срок, не превышающий десяти рабочих дней с момента выявления неправомерной обработки персональных данных.
7.3. Уничтожение информации с персональными данными, хранящейся в электронном виде на материальных носителях, производиться путём выполнения процедуры специальной подготовки материальных носителей (многократное форматирование разделов, выделенных под хранение данных).
7.4. Уничтожение материальных носителей с персональными данными осуществляется механическим либо электромагнитным воздействием с помощью специализированных средств (шредер, уничтожитель оптических дисков и т.п.). Отобранные к уничтожению материалы измельчаются механическим способом до степени, исключающей возможность прочтения текста.
7.5. Уничтожение производится по мере необходимости, в зависимости от объёмов накопленных для уничтожения документов.
7.6. Для уничтожения материальных носителей и информации на материальных носителях документально создаётся комиссия в составе не менее 2 человек. Уничтожение осуществляется по акту. Уничтожение документов производится в присутствии всех членов комиссии, которые несут персональную ответственность за правильность и полноту уничтожения перечисленных в акте документов (состав комиссии утверждается приказом). После уничтожения материальных носителей членами комиссии подписывается акт, делается запись в журнале уничтожения носителей персональных данных.
7.7. Накапливаемые для уничтожения документы, копии документов, черновики, содержащие персональные данные, должны храниться отдельно.

8.Заключительные положения
8.1. Настоящая Политика является локальным правовым актом, общедоступна и подлежит размещению на официальном сайте учреждения.
8.2. Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных.

© ЦКВМ «Феникс» ФГБУ ПОО «ГУОР по хоккею», 2022−2024