Приложение № 1 к приказу № ___ от ___________________2017 год.

 

Правила

организации обработки персональных данных работников в государственном бюджетном учреждении здравоохранения Кемеровской области «Березовская городская больница»

I. Общие положения

1.1.       Понятие и основания обработки персональных данных.

1.1.1.        Настоящие Правила определяют политику в государственном бюджетном учреждении здравоохранения Кемеровской области «Березовская  городская больница» (далее - Учреждение) в отношении обработки, использования и хранения персональных данных работников.

1.1.2.         Нормативной базой, регламентирующей положения настоящих Правил, являются ст. 23, ст. 24 Конституции Российской Федерации, глава 14 Трудового кодекса Российской Федерации «Защита персональных данных работников», Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», положения иных нормативных правовых актов Российской Федерации в области обработки персональных данных.

1.1.3.       Учреждение является оператором в отношении обрабатываемых персональных данных.

1.1.4.         Обработка персональных данных включает любое действие (операцию) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.1.5.         Обработка персональных данных осуществляется:

-        на основании согласия субъекта персональных данных на их обработку;

-     для выполнения возложенных на Учреждение функций, полномочий и обязанностей;

-      для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством;

-    для предоставления государственной услуги;

-      для осуществления прав и законных интересов Учреждения, третьих лиц либо для Достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

-      для обработки информации в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных;

-      в иных, прямо предусмотренных федеральным законом случаях.

1.2. Цели и задачи

1.2.1. Целями настоящих Правил выступают:

-      обеспечение соответствия законодательству действий лиц, осуществляющих от имени Учреждения обработку персональных данных (далее именуемых - «уполномоченные лица»).

-     обеспечение защиты персональных данных от несанкционированного доступа, утраты,неправомерного их использования или распространения.

1.2.2. Задачами настоящих Правил являются:

  • определение порядка обработки персональных данных работников Учреждения;
  • определение условий обработки персональных данных, способов их защиты;
  • определение прав и обязанностей Учреждения, уполномоченных лиц и субъектов персональных данных при обработке персональных данных.

 

1.3.Состав персональных данных

1.3.1.         Персональные данные - это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) - работнику Учреждения.

1.3.2.   Состав персональных данных, обрабатываемых Учреждением:

  1. учетные данные работников Учреждения (по форме Т-2), в том числе фотографическое изображение, и анкетные данные граждан, обратившихся в Учреждение для трудоустройства, включая личные дела и иные сведения (в целях формирования и учета кадров);
  2. персональные данные физических лиц, в том числе индивидуальных предпринимателей, должностных лиц организаций, полученные в связи с обращением указанных лиц в Учреждение, а также в случаях, когда они являются сторонами в судебных процессах (в целях подготовки разъяснений, ответов на обращения, отзывов, пояснений на исковые требования);
  3. данные о доходах работников учреждения (в целях бухгалтерского учета заработной платы и премии и подготовки сведении в налоговые органы и государственные внебюджетные фонды);
  4. данные о временной нетрудоспособности работников учреждения (в целях назначения и выплаты пособий);
  5. сведения о получателях пособий по обязательному социальному' страхованию на случай временной нетрудоспособности и в связи с материнством (в целях осуществления контроля за правильностью расчета сумм пособий и финансирования их выплаты);

1.3.3.           Информация о персональных данных может содержаться:

-      на бумажных носителях;

-      на электронных носителях;

1.3.4.           Учреждение использует следующие способы обработки персональных данных:

-      без использования средств автоматизации;

-  смешанная обработка (с применением объектов вычислительной техники).

                                                                   .                                                                                                                                                   

II. Порядок сбора и уточнения персональных данных

2.1.     Сбор документов, содержащих персональные данные, осуществляется путем их приобщения к материалам учетных дел либо путем создания, в том числе:

-                          копирования представленных оригиналов документов;

-                          внесения сведений в учетные формы (на бумажных и электронных носителях).

-                     Уточнение персональных данных производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

2.2.      Субъект персональных данных свои персональные данные предоставляет в Учреждение самостоятельно либо через своего представителя. В случаях, предусмотренных законодательством, персональные данные также могут быть переданы третьими лицами.

2.3.     Субъект персональных данных при передаче своих персональных данных принимает решение о предоставлении Учреждению согласия на обработку персональных данных.

Согласие на обработку персональных данных подписывается субъектом персональных данных собственноручно либо его представителем.

Равнозначным содержащему собственноручную подпись субъекта персональных данных, его представителя согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного электронной подписью.

В случае, если согласие на обработку персональных данных дается представителем субъекта персональных данных от его лица, уполномоченными должностными лицами проверяются полномочия представителя (установленные в доверенности либо основанные на иных документах).

 

2.4.     При получении персональных данных от субъекта персональных данных (его представителя) на личном приеме уполномоченное должностное лицо обязано:

-     разъяснить права, цели и порядок обработки персональных данных;

-     предложить предоставить Учреждению согласие на обработку персональных данных по рекомендуемой форме;

-    разъяснить последствия отказа предоставить персональные данные, передача которых в соответствии с законодательством является обязательной.

2.5.       Согласие на обработку своих персональных данных должно включать в себя:

-     фамилию, имя, отчество субъекта персональных данных, адрес, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

-     фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя;

-      наименование и адрес Учреждения;

-      цель обработки персональных данных;

-    перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

-     наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных субъекта персональных данных (в случае, если обработка персональных данных поручена Учреждением третьему лицу);

-    перечень действий с персональными данными, на совершение которых дается согласие;

-     срок, в течение которого действует согласие на обработку персональных данных, а также способ его отзыва;

-     подпись.

2.6.       В случае получения персональных данных от третьих лиц, до начала обработки таких персональных данных Учреждение обязано уведомить об этом субъекта персональных данных.

2.7.       Учреждение освобождается от обязанности предоставить субъекту персональных данных сведения, предусмотренные п. 2.6 настоящих Правил, в случаях, если:

1)     субъект персональных данных уведомлен об осуществлении обработки его персональных данных третьим лицом, предоставившим Учреждению персональные данные;

2)          персональные данные получены Учреждением на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

3)     персональные данные сделаны субъектом персональных данных общедоступными или получены из общедоступного источника;

4)      обработка персональных данных осуществляется для статистических или иных исследовательских целей, для осуществления научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных.

III. Порядок использования и хранения персональных данных

3.1.        Принципы использования и хранения персональных данных

3.1.1.         Общий срок использования персональных данных определяется периодом времени, в течение которого Учреждение осуществляет действия (операции) в отношении персональных данных, обусловленные заявленными целями их обработки.

3.1.2.           Использование персональных данных осуществляется с момента их получения Учреждением и прекращается:

-      по достижении целей обработки;

-     в связи с отсутствием необходимости в достижении заранее заявленных целей обработки.

3.1.3.         Использование персональных данных осуществляется при соблюдении принципа раздельности их обработки.

3.1.4.         Персональные данные при их обработке обособляются от иной информации, в частности путем фиксации их в отдельных файлах, на отдельных материальных носителях, в специальных разделах или на полях форм (бланков).

3.1.5.             При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на нем персональных данных, уполномоченные лица Учреждения осуществляют следующие меры по обеспечению раздельной обработки персональных данных:

-       при необходимости использования определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных.

Установленные выше положения применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.

3.1.6.            Персональные данные хранятся на бумажных (и иных материальных) носителях и (или) в электронном виде централизованно.

Места хранения персональных данных работников Учреждения определено в отделе кадров Учреждения.

3.1.7.       Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения персональных данных не установлен федеральным законом.

Сроки хранения персональных данных (материальных носителей) устанавливаются в соответствии с Перечнем типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков хранения, утвержденным приказом Минкультуры России от 25.08.2010 № 558.

IV. Порядок передачи персональных данных

4.1.           Передача персональных данных может осуществляться На основании письменных запросов, в том числе запросов в форме электронного документа, а также в рамках заключенных письменных договоров (соглашений).

4.2.     Из баз данных может передаваться конкретная информация, объем которой определяется в

 

заключаемых договорах (соглашениях) или в письменных запросах.

4.3.    Основанием передачи персональных данных органам государственной и муниципальной власти, судебным органам, органам прокуратуры и следствия, физическим и юридическим лицам является:

-  наличие норм законодательства, регламентирующих порядок и случаи передачи персональных данных;

-наличие письменного согласия субъекта персональных данных на обработку (в том числе передачу) его персональных данных.

4.4.    При передаче персональных данных уполномоченное лицо должно соблюдать следующие требования:

-не сообщать персональные данные третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, прямо установленных законодательством Российской Федерации;

-   уведомить получающих их лиц о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены;

-      уведомить о факте их передачи субъекта персональных данных;

-    не вносить в материальные и электронные носители персональных данных какие-либо пометки, исправления, вносить новые записи, извлекать документы или помещать новые, если это нарушает порядок обработки персональных данных.

4.5.    Субъекты персональных данных имеют право на получение от Учреждения информации о:

-      подтверждении факта обработки персональных данных;

-      правовых основаниях и целях обработки персональных данных;

-      целях и применяемых способах обработки персональных данных;

-   наименовании и месте нахождения Учреждения, сведениях о третьих лицах (за исключением должностных лиц), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора или на основании федерального закона;

-обрабатываемых персональных данных, источнике их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

-      сроках обработки персональных данных, в том числе сроках их хранения;

-      порядке осуществления субъектом персональных данных своих прав;

-    осуществленной или о предполагаемой трансграничной передаче данных (сведения о том, что трансграничная передача персональных данных Учреждении не осуществляется);

-наименовании или фамилии, имени, отчестве и адресе лица, осуществляющего обработку персональных данных по поручению Учреждения, если обработка поручена или будет поручена такому лицу;

-      иных сведениях, предусмотренных законодательством.

4.6.    Сведения, установленные п. 4.5. Правил, предоставляются Учреждением субъекту персональных данных в доступной форме и не должны содержать персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.

4.7.    Основанием для предоставления сведений, предусмотренных п. 4.5. Правил, является обращение либо получение запроса субъекта персональных данных или его представителя.

4.8.       Запрос должен содержать:

- номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;

-      сведения, подтверждающие факт обработки персональных данных Учреждением;

-     подпись субъекта персональных данных или его представителя.

Запрос может быть направлен в письменной форме, форме электронного документа, подписанного электронной подписью либо в иной форме в соответствии с законодательством.

4.9.     В случае, если сведения, указанные в п. 4.5. Правил, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, он вправе обратиться повторно к Учреждению или направить ему повторный запрос в целях получения указанных сведений и ознакомления с такими персональными данными не ранее, чем через 30 дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен законодательством, иным нормативным правовым актом.

4.10.      До истечения указанного срока запрашиваемые сведения предоставляются субъекту персональных данных повторно в случаях, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в п.

4.8. Правил, должен содержать обоснование направления повторного запроса.

4.11.      Учреждение вправе мотивированно отказать субъекту персональных данных в выполнении повторного запроса в случае нарушения им требований п.п. 4.9, 4.10 настоящих Правил. Мотивированный отказ направляется заявителю в срок, не превышающий 7 рабочих дней со дня обращения субъекта персональных данных, и должен содержать ссылку на нормы действующего законодательства, являющиеся основанием для такого отказа.

V. Блокирование, обезличивание и уничтожение персональных данных

5.1.      В случае достижения целей обработки персональных данных или в случае утраты необходимости в их достижении уполномоченное должностное лицо обязано:

-                        незамедлительно прекратить обработку персональных данных;

-                        уничтожить либо обезличить соответствующие персональные данные в срок, не превышающий тридцати рабочих дней с даты достижения целей обработки персональных данных.

Персональные данные не уничтожаются (не обезличиваются) в случаях, если:

-                        законодательством установлены сроки обязательного архивного хранения материальных носителей персональных данных;

-                        в иных случаях, прямо предусмотренных законодательством.

5.2.      Обезличивание или уничтожение части персональных данных, если это допускается материальным носителем, производится способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных персональных данных, зафиксированных на материальном носителе (закрашиванием, вырезанием и т.д.).

5.3.     В случае выявления недостоверности персональных данных, неправомерности действий с персональными данными уполномоченное должностное лицо осуществляет немедленное блркирование указанных персональных данных и в срок, не превышающий трех рабочих дней с даты такого выявления, обязано устранить допущенные нарушения.

В случае подтверждения факта недостоверности персональных данных уполномоченное должностное лицо уточняет персональные данные и снимает с них блокирование на основании документов, представленных:

-                         субъектом персональных данных (его законным представителем);

-                        уполномоченным органом по защите прав субъектов персональных данных;

-                        иными лицами.

5.4.     В случае невозможности устранения допущенных нарушений уполномоченное должностное лицо в срок, не превышающий десяти рабочих дней с даты выявления неправомерности действий с персональными данными, уничтожает персональные данные.

Об устранении допущенных нарушений или об уничтожении персональных данных уполномоченное должностное лицо уведомляет субъекта персональных данных (его законного представителя).

5.5.                      В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных уполномоченное лицо обязано прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий тридцати рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено законодательством, договором или соглашением между Учреждением и субъектом персональных данных.

5.6. Уничтожение документов, содержащих персональные данные, утративших свое практическое значение и не подлежащих архивному хранению производится на основании Акта уничтожения персональных данных.

VI. Меры по защите персональных данных

6.1.    Персональные данные относятся к сведениям конфиденциального характера (за исключением общедоступных сведений, которые в установленных федеральными законами случаях могут быть опубликованы в средствах массовой информации),

6.2.    Режим соблюдения конфиденциальности персональных данных представляет собой совокупность мер по обеспечению защиты персональных данных от несанкционированного доступа, утраты, неправомерного их использования или распространения.

6.3.    Защита персональных данных обеспечивается силами и средствами Учреждения.

6.3.1.     Внешний режим защиты персональных данных обеспечивается Учреждением путем исключения свободного доступа в кабинет отдела кадров.. Кабинет отдела кадров и архивные помещения запираются на ключ.

6.3.2.       Режим внутренней защиты персональных данных обеспечивается Учреждением путем осуществления следующих мер:

-     утверждение состава уполномоченных лиц;

-    размещение рабочих мест, исключающее бесконтрольное использование защищаемой информации;

-    создание условий для работы с персональными данными (материальными носителями);

-    обезличивание и уничтожение персональных данных, цели обработки которых достигнуты и сроки обязательного хранения которых истекли;

-    своевременное выявление и устранение нарушений установленных требований по защите персональных данных;

-     проведение профилактической работы с уполномоченными лицами, по предупреждению разглашения персональных данных.

6.3.3.      Ведение делопроизводства с документами, содержащими персональные данные, в Учреждении осуществляется в соответствии с требованиями законодательства.

6.4. В Учреждении применяется программно-технический комплекс защиты информаций на электронных носителях.

Персональные компьютеры защищены паролями, снабжены электронными ключами. Доступ к средствам копирования информации на внешние электронные носители ограничен средствами операционной системы.

VII. Полномочия субъектов персональных данных и учреждения при обработке персональных данных

7.1. В целях обеспечения защиты своих персональных данных при их обработке Учреждением субъект персональных данных имеет право:

-    на получение сведений об Учреждении, месте его нахождения, наличии у  Учреждения персональных данных субъекта, на ознакомление с ними и с иной информацией, касающейся обработки его персональных данных;

-                       на уточнение своих персональных данных, их блокирование или уничтожение, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

на обжалование действий или бездействия Учреждения в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке;

-      на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;

-     иные права, предусмотренные законодательством.

7.2.       Учреждение обязано безвозмездно предоставлять субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет Учреждение, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

О внесенных изменениях и предпринятых мерах Учреждение обязано уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.

7.3.        Учреждение не вправе без письменного согласия субъекта персональных данных передавать обрабатываемые персональные данные третьим лицам, за исключением случаев, прямо предусмотренных законодательством Российской Федерации.

7.4.        Не допускается принятие Учреждением решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, на основании исключительно автоматизированной обработки персональных данных.

 

 

 

 

 

 

 

 

VIII. Обязанности уполномоченных лиц по защите персональных данных, порядок допуска к персональным данным

8.1.    Уполномоченные лица обязаны:

-    знать и выполнять требования законодательства в области обеспечения защиты персональных данных, настоящих Правил;

-    хранить в тайне известные им персональные данные, информировать руководителя о фактах нарушения порядка обращения с персональными данными, о попытках несанкционированного доступа к ним;

-    соблюдать правила использования персональных данных, порядок их учета и хранения, исключить доступ к ним посторонних лиц;

-    обрабатывать только те персональные данные, к которым получен доступ в силу исполнения служебных обязанностей.

8.2.       При обработке персональными данными уполномоченным лицам запрещается:

-    использовать сведения, содержащие персональные данные, в неслужебных целях, а также в служебных целях при ведении переговоров по телефонной сети, в открытой переписке, статьях и выступлениях;

-    передавать персональные данные по незащищенным каналам связи (факсимильная связь, электронная почта и т.п.) без использования сертифицированных средств криптографической защиты информации;

-    снимать копии с документов и других носителей информации, содержащих персональные