Общество с ограниченной ответственностью

«СтомГрэйт»

____________________________________________________________________________________

140150, Московская обл., Раменский р-н,                               ОГРН   1035007914710

пос. Быково, ул. Советская, 19                                                   ИНН   5040056859

____________________________________________________________________________________

Приложение к приказу № 3 от 15 июля 2017 г.

Утверждаю

Генеральный директор

 

Л.В. Абрамова

15 июля 2017 г.

Политика

обработки персональных данных и реализуемых требований к защите персональных данных

 

СОДЕРЖАНИЕ

1. Общие положения…………………………………………………………………………. 3

2. Цели и случаи обработки персональных данных……………………………………6

3. Классификация персональных данных и Субъектов персональных данных…………………………………………………………………………………………………………8

4. Основные принципы обработки персональных данных…………………………… 9

5. . Меры по обеспечению безопасности персональных данных ………………… 11

6. Передача персональных данных пациентов и работников третьим лицам….15

7. Общедоступные источники персональных данных граждан и работников…17

8. Права субъекта персональных данных………………………………………….18

9. Обязанности медицинской организации ООО «СтомГрэйт«……………………19

10. Обязанности и ответственность сотрудников медицинской организации

ООО «СтомГрэйт» …………………………………………………………………….20

11. Заключительные положения……………………………………………………21

1. Общие положения

1.1. Настоящая Политика обработки персональных данных (далее ПД) и реализуемых требований к защите персональных данных (далее Политика) разработана в соответствии со следующими нормативными документами:

— Конституция РФ от 12 декабря 1993 г.

— Трудовой кодекс РФ.

— Гражданский кодекс РФ.

— Федеральный закон от 02 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации».

— Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

— Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — Федеральный закон № 152-ФЗ).

— Федеральный закон от 26 декабря 2008 г. № 294-ФЗ «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля».

— Указ Президента РФ от 06 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера».

— Постановление Правительства Российской Федерации от 06 июля 2008 г. № 512 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных».

— Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

— Постановление Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

— Приказ ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от 13 февраля 2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных».

—         Приказ ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

—         Приказ Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;

— Приказ ФНС от 17 ноября 2010 г. № ММВ-7-3/611 «Об утверждении формы сведений о доходах физических лиц и рекомендации по ее заполнению, формата сведений о доходах физических лиц в электронном виде, справочников».

— Приказы руководителя ООО «СтомГрэйт», регламентирующих порядок создания, обработки и защиты персональных данных пациентов и работников организации.

1.2. Политика разработана в целях реализации требований законодательства в области обработки и обеспечения безопасности персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в медицинской организации ООО «СтомГрэйт».

1.3.     Политика устанавливает:

• цели обработки персональных данных;
• классификацию персональных данных и Субъектов персональных данных;
• общие принципы обработки персональных данных;
• основных участников системы управления процессом обработки персональных данных;
• основные подходы к системе управления процессом обработки персональных данных.

1.4.     Положения настоящей Политики являются основой для организации работы по обработке персональных данных в медицинской организации, в том числе, для разработки внутренних (локальных) нормативных документов (регламентов, методик, технологических схем и пр.), регламентирующих процесс обработки персональных данных в медицинской организации.

1.5.     Положения настоящей Политики являются обязательными для исполнения всеми Работниками Банка, имеющими доступ к персональным данным.

1.6.     Настоящая Политика размещается на общедоступном ресурсе — в сени Интернет на сайте организации для общего пользования Работниками медицинской организации и пациентами.

1.7. Основные понятия, используемые в настоящей Политике

Для целей настоящей Политики применяются следующие термины и определения:

Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Пациенты (субъекты персональных данных) – физические лица, обращающиеся в медицинскую организацию-оператору за медицинской помощью, в медико-профилактических целях, в целях установления медицинского диагноза и оказания медицинских услуг на договорной основе.

Работники (субъекты персональных данных) – физические лица, состоящие в трудовых и иных гражданско-правовых отношениях с медицинской организацией-оператором, соискатели на замещение вакантных должностей и лица, находящиеся в кадровом резерве (физические лица, готовящиеся вступить в трудовые или иные гражданско-правовые отношения с медицинской организацией-оператором).

Документы, содержащие персональные данные работника — документы, которые работник предоставляет медицинскую организацию-оператору (работодателю) в связи с трудовыми отношениями и касающиеся конкретного работника (субъекта персональных данных), а также другие документы, содержащие сведения, предназначенные для использования в служебных целях.

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

Биометрические персональные данные – сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность.

Обработка персональных данных пациента или работника — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных гражданина или работника.

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Конфиденциальность персональных данных — операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законодательством.

Несанкционированный доступ (несанкционированные действия) — доступ к информации или действия с информацией, нарушающие правила разграничения доступа, в том числе с использованием штатных средств, предоставляемых информационными системами персональных данных.

Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с Федеральным законодательством не распространяется требование соблюдения конфиденциальности.

2. Цели и случаи обработки персональных данных

2.1. Целями обработки персональных данных являются:

• организация кадрового учета, ведение кадрового делопроизводства, содействие работникам в трудоустройстве, обучении и повышении квалификации, исполнение налогового законодательства РФ в связи с исчислением и уплатой НДФЛ, а также пенсионного законодательства РФ при формировании и представлении персонифицированных данных о каждом получателе доходов, учитываемых при начислении страховых взносов на обязательное пенсионное страхование и обеспечение, заполнение первичной статистической документации;
• заключение, исполнение и прекращение гражданско-правовых договоров;
• в случаях обращения клиента (потенциального клиента) за медицинской помощью, в медико-профилактических целях, в целях установления медицинского диагноза и оказания медицинских услуг на договорной основе при условии, что их обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну.

2.2. Обработка персональных данных в медицинской организации ООО «СтомГрэйт» допускается в случаях:

— если обработка персональных данных осуществляется с согласия субъекта персональных данных;

— если обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

— если обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

— если обработка персональных данных необходима для осуществления прав и законных интересов медицинской организации или третьих лиц, либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

— если обработка персональных данных осуществляется в исследовательских, статистических или иных целях при условии обязательного обезличивания персональных данных;

— если осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;

• если осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с законом.

3. Классификация персональных данных и Субъектов персональных данных

3.1. К персональным данным относится любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (Субъекту персональных данных), обрабатываемая медицинской организацией для достижения заранее определенных целей.

3.2. Медицинская организация не осуществляет обработку специальных категорий персональных данных, касающихся расовой и национальной принадлежности, политических взглядов, религиозных и философских убеждений, интимной жизни, судимости физических лиц, если иное не установлено законодательством Российской Федерации.

3.3. Медицинская организация вправе осуществлять обработку специальной категории персональных данных, касающейся состояния здоровья Субъекта персональных данных.

3.4. Медицинская организация осуществляет обработку персональных данных следующих категорий Субъектов персональных данных:

• физические лица, являющиеся кандидатами на работу;
• физические лица, являющиеся работниками медицинской организации;
• физические лица, осуществляющие выполнение работ по оказанию услуг и заключившие с медицинской организацией договор гражданско-правового характера;
• физические лица (пациенты, освидетельствуемые и др.), приобретшие или намеревающиеся приобрести медицинские услуги медицинской организации;
• физические лица, персональные данные которых сделаны ими общедоступными, а их обработка не нарушает их прав и соответствует требованиям, установленным Законодательством о персональных данных.

3.5. Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающиеся конкретного работника. Состав Персональных данных работника:

— анкетные и биографические данные;

— образование;

— сведения о трудовом и общем стаже;

— сведения о составе семьи;

— паспортные данные;

— сведения о воинском учете;

— сведения о заработной плате сотрудника;

— сведения о социальных льготах;

— специальность,

— занимаемая должность;

— наличие судимостей;

— адрес места жительства;

— домашний телефон;

— место работы или учебы членов семьи и родственников;

— характер взаимоотношений в семье;

— содержание трудового договора;

— состав декларируемых сведений о наличии материальных ценностей;

— содержание декларации, подаваемой в налоговую инспекцию;

— подлинники и копии приказов по личному составу;

— личные дела и трудовые книжки сотрудников;

— основания к приказам по личному составу;

— дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;

— копии отчетов, направляемые в органы статистики.

Данные документы являются конфиденциальными, хотя, учитывая их массовость и единое место обработки и хранения — соответствующий гриф ограничения на них не ставится.

3.6. Состав персональных данных пациента – информация, необходимая медицинской организации для заполнения и ведения первичной медицинской документации при оказании медицинских услуг на договорной основе.

4. Основные принципы обработки персональных данных

4.1. Обработка персональных данных возможна только в соответствии с целями, определившими их получение.

4.2. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4.3. Право доступа для обработки персональных данных имеют сотрудники медицинской организации ООО «СтомГрэйт» в соответствии с возложенными на них функциональными обязанностями.

4.4. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к заявленным целям их обработки.

4.5. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом № 152-ФЗ, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

4.6. Обрабатываемые персональные данные уничтожаются или обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

4.7. Сроки хранения персональных данных определяются в соответствии со сроком действия гражданско-правовых отношений между субъектом персональных данных и медицинской организацией ООО «СтомГрэйт», сроком исковой давности, сроками хранения документов на бумажных носителях и документов в электронных базах данных, иными требованиями законодательства РФ, а также сроком действия согласия субъекта на обработку его персональных данных.

4.8. В целях обеспечения прав и свобод человека и гражданина, медицинская организация при обработке персональных данных пациента или работника обязана соблюдать следующие общие требования:

4.8.1. Все персональные данные пациента или работника следует получать у него самого или у его полномочного представителя. Все персональные данные работника работодатель должен получать у него самого. Если персональные данные пациента или работника возможно получить только у третьей стороны, то пациент или работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

4.8.2. При определении объема и содержания обрабатываемых персональных данных пациента или работника, медицинская организация должна руководствоваться Конституцией Российской Федерации, Трудовым кодексом, Федеральным законом № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», законодательством РФ в сфере защиты персональных данных и обработки информации, иными нормативными актами, указанными в разделе 1 настоящей Политики и внутренними (локальными) нормативными актами в области защиты персональных данных.

4.8.3. Медицинская организация не имеет права получать и обрабатывать персональные данные пациента или работника, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации, работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

4.8.4. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении пациента и работника или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ.

4.8.5. Защита персональных данных пациентов и работников от неправомерного их использования или утраты должна быть обеспечена медицинской организацией за счет своих средств, в порядке, установленном Федеральным законодательством и другими нормативными документами.

4.8.6. Работники или их представители должны быть ознакомлены под личную подпись с документами медицинской организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

4.8.7. Обработку биометрических персональных данных производить в соответствии с требованиями к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.

5. Меры по обеспечению безопасности персональных данных

5.1. При обработке персональных данных медицинская организация ООО «СтомГрэйт» принимает необходимые правовые, организационные и технические меры защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

5.2. Обеспечение безопасности персональных данных достигается, в частности:

— определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

— применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством РФ уровни защищенности персональных данных;

— применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

— учетом машинных носителей персональных данных;

• обнаружением фактов несанкционированного доступа к персональным данным и принятием необходимых мер;
• установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
• контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационной системы персональных данных.

5.3. Для обеспечения безопасности персональных данных граждан и работников при неавтоматизированной обработке предпринимаются следующие меры:

5.3.1. Определяются места хранения персональных данных, которые оснащаются средствами защиты:

—   в кабинетах, где осуществляется хранение документов, содержащих персональные данные пациентов и работников, имеются сейфы, шкафы, стеллажи, тумбы;

—   дополнительно кабинеты, где осуществляется хранение документов, оборудованы замками и системами охранной и пожарной сигнализаций.

5.3.2. Все действия по неавтоматизированной обработке персональных данных пациентов и работников осуществляются только должностными лицами, согласно Списка должностей, утвержденного Приказом руководителя, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.

5.3.3. При обработке персональных данных на материальных носителях не допускается фиксация на одном материальном носителе тех данных, цели обработки которых заведомо не совместимы.

При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если не имеется возможности осуществлять их отдельно, должны быть приняты следующие меры:

—   при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) только копия;

— при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление).

Персональные данные пациентов и работников, содержащиеся на материальных носителях, уничтожаются по Акту об уничтожении персональных данных.

Эти правила применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.

Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя — путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными.

5.3.4. Обработка персональных данных осуществляется с соблюдением порядка, предусмотренного Постановлением Правительства от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

5.4. Для обеспечения безопасности персональных данных граждан и работников при автоматизированной обработке предпринимаются следующие меры:

5.4.1. Все действия при автоматизированной обработке персональных данных граждан и работников осуществляются только должностными лицами, согласно Списка должностей, утвержденного Приказом руководителя, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.

5.4.2. Персональные компьютеры, имеющие доступ к базам хранения персональных данных граждан и работников, защищены паролями доступа. Пароли устанавливаются Администратором информационной безопасности и сообщаются индивидуально работнику, допущенному к работе с персональными данными и осуществляющему обработку персональных данных граждан и работников на данном ПК.

5.5. Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечение срока их хранения, в соответствии с приказами по архивному делу, или продлевается на основании заключения экспертной комиссии медицинской организации, если иное не определено законодательством РФ.

6. Передача персональных данных пациентов и работников третьим лицам

6.1. Передача персональных данных граждан третьим лицам осуществляется медицинской организацией только с письменного согласия гражданина, с подтверждающей визой руководителя, за исключением случаев, если:

—   передача необходима для защиты жизни и здоровья гражданина, либо других лиц, и получение его согласия невозможно;

—   в целях обследования и лечения гражданина, не способного из-за своего состояния выразить свою волю;

—   по запросу органов дознания, следствия, прокуратуры и суда в связи с проведением расследования или судебным разбирательством, в соответствии с Законом об оперативно-розыскной деятельности;

—   в случае оказания помощи несовершеннолетнему в возрасте до 15 лет, для информирования его родителей или законных представителей;

—   при наличии оснований, позволяющих полагать, что права и интересы гражданина могут быть нарушены противоправными действиями других лиц;

— в иных случаях, прямо предусмотренных Федеральным законодательством.

Лица, которым в установленном Федеральным законом №152-ФЗ порядке переданы сведения, составляющие персональные данные гражданина, несут дисциплинарную, административную или уголовную ответственность за разглашение в соответствии с законодательством Российской Федерации.

6.2. Передача персональных данных гражданина третьим лицам осуществляется на основании запроса третьего лица с разрешающей визой руководителя при условии соблюдения требований, предусмотренных п. 6.1 настоящей Политики.

6.3. При передаче персональных данных пациента или работника третьим лицам работодатель должен соблюдать следующие требования:

6.3.1.   Не сообщать персональные данные пациента или работника третьему лицу без их письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью пациента или работника, а также в случаях, прямо предусмотренных законодательством РФ.

6.3.2.   Не сообщать персональные данные пациента или работника в коммерческих целях без его письменного согласия.

6.3.3. Предупредить лиц, получающих персональные данные пациента или работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены.

6.3.4. Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.

6.3.5. Передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом РФ, и только в том объеме, который необходим для выполнения указанными представителями их функций.

6.4. Передача персональных данных работника третьим лицам осуществляется на основании письменного заявления/запроса третьего лица с разрешающей визой руководителя и только с согласия работника, в отношении которого поступил такой запрос, за исключением случаев, прямо предусмотренных п. 6.3.1 настоящей Политики.

6.5. В целях соблюдения Федерального законодательства и иных нормативных правовых актов Российской Федерации и обеспечения положений трудового договора возможна передача:

—   документов, содержащих сведения о доходах и налогах на доходы физических лиц, сведений о пенсионных накоплениях физических лиц в соответствии с Федеральным законодательством Российской Федерации — в Федеральные органы исполнительной власти;

—   персональных данных, для осуществления выдачи заработной платы или других доходов работника — в уполномоченные банковские организации;

—   персональных данных, для содействия работникам в трудоустройстве, обучении, повышения их квалификации, переподготовке, проведения аттестации на квалификационную категорию, получении грамот, наград и иных форм поощрений — в представительные органы власти, уполномоченные региональные и Федеральные органы исполнительной власти.

Передача указанных сведений и документов осуществляется с согласия работника. Согласие работника оформляется письменно в виде отдельного документа. После получения согласия работника дальнейшая передача указанных сведений и документов, дополнительного письменного согласия не требует и в «Журнал учета запросов персональных данных работников по запросам третьих лиц» не фиксируется.

Медицинская организация обеспечивает ведение Журнала учета выданных персональных данных пациентов и работников по запросам третьих лиц, в котором регистрируются поступившие запросы, фиксируются сведения о лице, направившем запрос, дата передачи персональных данных, а также отмечается, какая именно информация была передана.

В случае если лицо, обратившееся с запросом, не уполномочено Федеральным законодательством на получение персональных данных пациента или работника, либо отсутствует письменное согласие пациента или работника на передачу его персональных данных, медицинская организация обязана отказать в предоставлении персональных данных. В данном случае лицу, обратившемуся с запросом, выдается мотивированный отказ в предоставлении персональных данных в письменной форме, копия отказа хранится в медицинской организации.

7. Общедоступные источники персональных данных граждан и работников

7.1. Включение персональных данных гражданина в общедоступные источники персональных данных возможно только при наличии его письменного согласия.

7.2. В целях информационного обеспечения работодателем могут создаваться общедоступные источники персональных данных работников (в том числе справочники, адресные книги, информационные стенды на сайте медицинской организации для потребителей медицинских услуг, оказываемых работодателем). В общедоступные источники персональных данных с письменного согласия работника могут включаться его фамилия, имя, отчество, год и место рождения, адрес, иные персональные данные, предоставленные работником.

7.3.   При обезличивании персональных данных согласие пациента или работника на включение персональных данных в общедоступные источники персональных данных не требуется.

7.4.   Сведения о пациентах или работниках могут быть исключены из общедоступных источников персональных данных по требованию самого пациента или работника, либо по решению суда или иных уполномоченных государственных органов.

8. Права субъекта персональных данных

Субъект персональных данных имеет право:

8.1. На получение информации, касающейся обработки его персональных данных, в том числе содержащей:

• подтверждение факта обработки персональных данных оператором;
• правовые основания и цели обработки персональных данных;
• цели и применяемые медицинской организацией способы обработки персональных данных;
• наименование и место нахождения медицинской организации ООО «СтомГрэйт», сведения о лицах (за исключением работников медицинской организации ООО «СтомГрэйт»), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с медицинской организацией ООО «СтомГрэйт» или на основании федерального закона;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных ФЗ «О персональных данных»;
• информацию об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению медицинской организации, если обработка поручена или будет поручена такому лицу;
• иные сведения, предусмотренные ФЗ «О персональных данных» или другими федеральными законами.

8.2. Требовать медицинской организации ООО «СтомГрэйт» уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

8.3. На свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных законодательством РФ.

8.4. Обжаловать в суд любые неправомерные действия или бездействие медицинской организации ООО «СтомГрэйт» при обработке и защите его персональных данных.

9. Обязанности медицинской организации ООО «СтомГрэйт»

Медицинская организация ООО «СтомГрэйт» обязуется:

9.1. Принимать необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

9.2. Осуществлять мероприятия по организационной и технической защите персональных данных в соответствии с требованиями законодательства РФ по вопросам обработки персональных данных.

9.3. В целях обеспечения защиты персональных данных проводить оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения безопасности их персональных данных, а также определять актуальные угрозы безопасности персональных данных при их обработке в информационных системах персональных данных.

9.4. При выявлении актуальных угроз применять необходимые и достаточные правовые, организационные и технические меры по обеспечению безопасности персональных данных, включающие в себя:

• определение угроз безопасности информации, содержащей персональные данные, при ее обработке;
• применение организационных и технических мер по обеспечению безопасности информации, содержащей персональные данные, при ее обработке;
• оценку эффективности принимаемых мер до ввода в эксплуатацию информационной системы персональных данных;
• учет машинных носителей информации, содержащей персональные данные;
• обнаружение фактов несанкционированного доступа к информации, содержащей персональные данные, и принятие мер;
• восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• установление правил доступа к информации, содержащей персональные данные, обеспечение регистрации и учета всех действий, совершаемых с информацией, содержащей персональные данные, в информационной системе персональных данных;
• контроль за принимаемыми мерами.

10. Обязанности и ответственность сотрудников медицинской организации ООО «СтомГрэйт»

 

10.1. Сотрудники медицинской организации ООО «СтомГрэйт», допущенные к обработке персональных данных, обязаны:

• знать и неукоснительно выполнять требования настоящей Политики;
• обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;
• не разглашать персональные данные, полученные в результате выполнения своих должностных обязанностей, а также ставшие им известными по роду своей деятельности;
• пресекать действия третьих лиц, которые могут привести к разглашению (уничтожению, искажению) персональных данных;
• выявлять факты разглашения (уничтожения, искажения) персональных данных и информировать об этом непосредственного руководителя;
• хранить тайну о сведениях, содержащих персональные данные в соответствии с локальными актами медицинской организации ООО «СтомГрэйт».

10.2. Сотрудникам медицинской организации ООО «СтомГрэйт», допущенным к обработке персональных данных, запрещается несанкционированное и нерегламентированное копирование персональных данных на бумажные носители информации и на любые электронные носители информации, не предназначенные для хранения персональных данных.

10.3. Каждый новый работник медицинской организации ООО «СтомГрэйт», непосредственно осуществляющий обработку персональных данных, подлежит ознакомлению с требованиями законодательства РФ по обработке и обеспечению безопасности персональных данных, с настоящей Политикой и другими локальными актами по вопросам обработки и обеспечения безопасности персональных данных и обязуется их соблюдать.

10.4. Лица, виновные в нарушении требований законодательства РФ в области персональных данных, несут дисциплинарную, материальную, гражданско-правовую, административную или уголовную ответственность.

11. Заключительные положения

11.1. Действующая редакция Политики вступает в силу с даты её утверждения.

11.2. Электронная версия действующей редакции Политики общедоступна на сайте медицинской организации в сети Интернет.

11.3. Настоящая Политика распространяется на всех пациентов и работников, а также работников медицинской организации ООО «СтомГрэйт», имеющих доступ и осуществляющих перечень действий с персональными данными пациентов и работников.

Пациенты медицинской организации ООО «СтомГрэйт», а также их законные представители, имеют право ознакомиться с настоящей Политикой.

Работники медицинской организации ООО «СтомГрэйт» подлежат ознакомлению с данным документом в порядке, предусмотренном Приказом руководителя, под личную подпись.

11.4. В обязанности работников, осуществляющих первичный сбор персональных данных пациента, входит получение согласия пациента на обработку его персональных данных под личную подпись.

11.5. В обязанности работодателя входит ознакомление всех работников с настоящей Политикой и лиц, принимаемых на работу до подписания трудового договора, под личную подпись.

11.6. Политика может актуализироваться и заново утверждаться, по мере внесения изменений в нормативные правовые акты в сфере персональных данных или в локальные акты, регламентирующие организацию обработки и обеспечение безопасности персональных данных, на основании Приказа руководителя медицинской организации ООО «СтомГрэйт».