Политика обработки персональных данных

1. Общие положения

1.1 Политика в отношении обработки персональных данных в НУЗ «Узловая поликлиника на ст. Кавказская ОАО «РЖД» (далее - Политика) определяет политику НУЗ «Узловая поликлиника на ст. Кавказская ОАО «РЖД» (далее – Оператор) в отношении обработки персональных данных и реализации требований к защите персональных в соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

1.2 В настоящей Политике используются следующие основные понятия:

  • блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
  • информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
  • обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
  • оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
  • персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
  • предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  • распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
  • уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

1.3 Настоящая политика распространяется на всех сотрудников оператора, включая сотрудников, работающих по договору подряда, а также на сотрудников сторонних организаций, взаимодействующих с оператором на основании соответствующих нормативных, правовых и организационно-распорядительных документов.

1.4 Настоящая политика вступает в силу с момента ее утверждения и действует бессрочно, до замены ее новой политикой.

 

2. Правовые основания обработки персональных данных

2.1 Оператор обрабатывает персональные данные в соответствии со следующими нормативными и правовыми актами:

  • Конституция РФ;
  • Трудовой кодекс РФ от 30.12.2001 № 197-ФЗ (ст. 85-90);
  • Гражданский кодекс РФ;
  • Налоговый кодекс РФ;
  • Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (в частности ст. 6);
  • ст. ст. 6-9, ст. ст. 16-17 Федерального закона от 27.07.2006 г. № 149-ФЗ «Об информатизации, информационных технологиях и о защите информации»;
  • Приказ МЗСР РФ № 255 от 22.11.2004 «О порядке оказания первичной медико-санитарной помощи гражданам, имеющим право на получение набора социальных услуг»;
  • Приказ МЗ СССР № 1030 от 04.10.1980 «О утверждении форм первичной медицинской документации учреждений здравоохранения»;
  • Приказ МЗ РФ № 413 от 30.12.2002 «Об утверждении учетной и отчетной медицинской документации»;
  • Приказ МЗСР РФ от 01.08.2007 № 514 «Порядок выдачи медицинскими организациями листков нетрудоспособности» (ред. От 18.12.2008);
  • Приказ МЗСР РФ от 26.04.2011 № 347н «Об утверждении формы бланка листка нетрудоспособности»;
  • Приказ МЗСР РФ от 29.06.2011 № 624н «Об утверждении Порядка выдачи листков нетрудоспособности»;
  • Приказ МЗСР РФ № 782 от 26.12.2008 «Об утверждении и порядке ведения медицинской документации, удостоверяющей случаи рождения и смерти»;
  • Приказ МЗСР РФ № 765 от 07.12.2005 «Об организации деятельности врача-терапевта участкового»;
  • Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» (ст. 4 главы 1, ст.13 главы 2, ст. ст. 14-16 главы 3, глава 4, ст. 55 главы 5, ст. 51, ст. ст. 53-54., ст. 59 главы 6, ст. ст. 91-94, ст. 97);
  • Постановление Правительства Российской Федерации от 16.04.2003 г. № 225 «О трудовых книжках»;
    Постановление Правительства Российской Федерации от 27.11.2006 г. № 719 «Об утверждении Положения о воинском учете»;
  • Приказ ФМБА РФ от 30.03.2007 № 88 «О добровольном информированном согласии на медицинское вмешательство» (ред. От 13.07.2015);
  • Приказ МЗ РФ № 87н от 06.03.2015 «Об унифицированной форме медицинской документации и форме статистической отчетности, используемых при проведении диспансеризации определенных групп взрослого населения и профилактических медицинских осмотров, порядках по их заполнению»;
  • ст. 28, ст. 32 Федерального закона от 24.07.2009 г. № 212-ФЗ «О страховых взносах в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования»;
  • Приказ МЗ РФ от 15.12.2014 № 834н «Об утверждении унифицированных форм медицинской документации, используемых в медицинских организациях, оказывающих медицинскую помощь в амбулаторных условиях, и порядков по их заполнению»;
  • Приказ МЗСР РФ от 25 января 2011 № 29н «Об утверждении Порядка ведения персонифицированного учета в сфере обязательного медицинского страхования»;
  • Приказ МЗСР РФ от 28.02.2011 № 158н «Об утверждении Правил обязательного медицинского страхования»;
  • Приказ МЗ РФ № 1175н от 20.12.2012 «Об утверждении порядка назначения и выписывания лекарственных препаратов, а также форм рецептурных бланков на лекарственные препараты, порядка оформления указанных бланков, их учета и хранения»;
  • Приказ ФМС РФ № 208 от 20.09.2007 «Об утверждении Административного регламента предоставления Федеральной миграционной службой государственной услуги по регистрационному учету граждан Российской Федерации по месту пребывания и по месту жительства в пределах Российской Федерации»;
  • Приказ МЗ РФ №1011н от 06.12.2012 «Порядок проведения профилактического медицинского осмотра»;
  • Приказ МЗ РФ от 17.09.1993 № 220 «О мерах по развитию и совершенствованию инфекционной службы в Российской Федерации»;
  • Приказ МЗСР РФ от 26.04.2012 № 406н «Об утверждении Порядка выбора гражданином медицинской организации при оказании ему медицинской помощи в рамках программы государственных гарантий бесплатного оказания гражданам медицинской помощи»;
  • ст.3, ст. 13, ст. 17, ст.23, ст. 23, ст. 25, ст. 27 Федерального закона от 22.10.2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации»
  • ст. 5, ст. 6, ст. 15 Федерального закона от 02.05.2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
  • Постановление Правительства Российской Федерации от 15.09. 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Постановление Министерства труда Российской Федерации от 10.10. 2003 г. № 69 «Об утверждении Инструкции по заполнению трудовых книжек»;
  • Приказ Министерства здравоохранения и социального развития Российской Федерации от 17.01.2008 г. № 14н «О порядке ведения Федерального регистра медицинских работников – врачей-терапевтов участковых, врачей педиатров участковых, врачей общей практики (семейных врачей) и медицинских сестер участковых врачей-терапевтов участковых, медицинских сестер участковых врачей-педиатров участковых, медицинских сестер врачей общей практики (семейных) врачей»;
  • Приказ Министерства здравоохранения Российской Федерации от 31.12.2013 г. № 1159н «Об утверждении Порядка ведения персонифицированного учета при осуществлении медицинской деятельности лиц, участвующих в оказании медицинских услуг».
    Оператор обрабатывает персональные данные исключительно в следующих целях:
  • иными нормативными и правовыми актами Российской Федерации.

 

3. Принципы обработки персональных данных

3.1 Обработка персональных данных должна осуществляться на законной и справедливой основе.

3.2 Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3.3 Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

3.4 Обработке подлежат только персональные данные, которые отвечают целям их обработки.

3.5 Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

3.6 При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.

3.5 В целях информационного обеспечения могут создаваться общедоступные источники персональных данных работников (в том числе справочники, электронные базы). В общедоступные источники персональных данных с письменного согласия работника могут включаться его фамилия, имя, отчество, год рождения, сведения о профессии и иные персональные данные, предоставленные работником.

3.7 Хранение персональных данных должно осуществляться в форме, позволяющей определить субъект персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

 

4. Категория и субъекты обрабатываемых персональных данных

4.1 Оператор осуществляет обработку иных категорий персональных данных следующих субъектов персональных данных:

  • работники;
  • пациенты и их представители.

 

5. Цели обработки персональных данных

5.1 Оператор обрабатывает персональные данные работников в следующих целях:

  • исполнения требований Трудового кодекса Российской Федерации;
  • исполнения требований налогового законодательства в связи с исчислением и уплатой налога на доходы физических лиц, а также единого социального налога;
  • исполнения требований пенсионного законодательства при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение;

5.2 Оператор обрабатывает персональные данные пациентов в следующих целях:

  • предоставления медицинских услуг в соответствии с Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».
  • осуществление видов деятельности, предусмотренных учредительными документами;
  • выполнение договорных обязательств.

 

6. Условия обработки персональных данных

6.1 Обработка персональных данных осуществляется Оператором как с использованием средств автоматизации, так и без использования таких средств.

6.2 Обработка персональных данных допускается в следующих случаях:

  • обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
  • обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;
  • обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном;
  • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;
  • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
  • обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  • осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
  • осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

6.3 Оператор не предоставляет и не раскрывает сведения, содержащие персональные данные субъектов, третьей стороне без письменного согласия субъекта персональных данных за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью, а также в случаях, установленных федеральными законами.

6.4 По мотивированному запросу исключительно для выполнения возложенных законодательством функций и полномочий персональные данные субъекта персональных без его согласия могут быть переданы:

  • в судебные органы в связи с осуществлением правосудия;
  • в органы федеральной службы безопасности;
  • в органы прокуратуры;
  • в органы полиции;
  • в иные органы и организации в случаях, установленных нормативными правовыми актами, обязательными для исполнения.

6.5 Оператор прекращает обработку персональных данных в следующих случаях:

  • достижение целей обработки персональных данных или максимальных сроков хранения – в течение 30 дней;
  • утрата необходимости в достижении целей обработки персональных данных – в течение 30 дней;
  • предоставление субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки – в течение 7 дней;
  • невозможность обеспечения правомерности обработки персональных данных – в течение 10 дней;
  • отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных – в течение 30 дней;
  • истечение сроков исковой давности для правоотношений, в рамках которых осуществляется либо осуществлялась обработка персональных данных.

 

7. Меры обеспечения безопасности персональных данных

7.1 Безопасность персональных данных, обрабатываемых Оператором, обеспечивается реализацией правовых, организационных и технических мер, необходимых и достаточных для обеспечения выполнения требований законодательства в области защиты персональных данных.

7.2 Оператор предпринимает необходимые организационные и технические меры для обеспечения безопасности персональных данных от случайного или несанкционированного доступа, уничтожения, изменения, блокирования доступа и других несанкционированных действий.

7.3 Оператор предпринимает следующие организационно-технические меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами:

  • назначение должностных лиц, ответственных за организацию обработки и защиту персональных данных;
  • издание локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
  • осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;
  • оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона «О персональных данных», соотношение указанного вреда и принимаемых оператором мер;
  • ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных и (или) обучение указанных работников;
  • определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленный в информационной системе персональных данных уровень защищенности;
  • применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации в случае, когда применение таких средств необходимо для нейтрализации актуальных угроз;
  • оценка эффективности принимаемых мер по обеспечению безопасности персональных данных;
  • учет машинных носителей персональных данных;
  • обнаружение фактов несанкционированного доступа к персональным данным и принятием мер;
  • восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  • контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.

 

8. Права субъектов персональных данных

8.1 Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

  • подтверждение факта обработки персональных данных Оператором;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые Оператором способы обработки персональных данных;
  • наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников/работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные Федеральным законом «О персональных данных» или другими федеральными законами.

8.2 Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

8.3 Если субъект персональных данных считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Оператора в вышестоящий орган по защите прав субъектов персональных данных (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций – Роскомнадзор) или в судебном порядке.

8.4 Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

 

9. Заключительные положения

9.1 Контроль исполнения требований Политики осуществляется ответственным за организацию обработки персональных данных в НУЗ «Узловая поликлиника на ст. Кавказская ОАО «РЖД».

9.2 Иные права и обязанности Оператора персональных данных определяются Федеральным законом «О персональных данных» и иными нормативными правовыми актами в области защиты персональных данных.

9.3 Должностные лица, виновные в нарушении норм, регулирующих обработку и защиту персональных данных, несут материальную, дисциплинарную, административную, гражданско-правовую и уголовную ответственность в порядке, установленном федеральными законами.