Закрыть
Авторизация

Логин:

Пароль:



Забыли пароль?
Регистрация
8 (34675) 3-93-52

Советский район, с.п. Алябьевский.

sekretar.spnd@gmail.com


Бюджетное учреждение ХМАО-Югры
"Советская психоневрологическая больница"

Политика обработки и защиты персональных данных

Приложение 14

к приказу БУ «Советская психоневрологическая больница»

от  21.05.2018 № 319 

ПОЛИТИКА

в отношении обработки персональных данных 

1. Общие положения

1.1. Политика в отношении обработки персональных данных в бюджетном учреждении Ханты-Мансийского автономного округа - Югры «Советская психоневрологическая больница» (далее – Политика) разработана в соответствии с Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологий и о защите информации», Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон «О персональных данных»), постановлением Правительства Российской Федерации от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами», постановлением Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и другими нормативными правовыми актами, регулирующими отношения, связанные с обработкой персональных данных.

1.2. Политика определяет порядок и условия обработки персональных данных в бюджетном учреждении Ханты-Мансийского автономного округа - Югры «Советская психоневрологическая больница» (далее - БУ «Советская психоневрологическая больница») с использованием средств автоматизации и без использования таких средств.

1.3. Политика вступает в силу с момента подписания главным врачом БУ «Советская психоневрологическая больница».

1.4. Политика подлежит пересмотру в ходе периодического анализа со стороны руководства БУ «Советская психоневрологическая больница», а также в случаях изменения законодательства Российской Федерации в области обеспечения безопасности персональных данных (далее - ПДн).

1.5. Политика подлежит опубликованию на официальном сайте БУ «Советская психоневрологическая больница» в течение 10 дней после её утверждения.

2. Основные понятия, используемые в настоящей Политике

2.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).

2.2. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

2.3. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

2.4. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

2.5. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

2.6. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.7. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2.8. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

2.9. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2.10. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

3. Цели обработки персональных данных

3.1. Обработка ПДн осуществляется БУ «Советская психоневрологическая больница» в следующих целях:

−        обеспечения соблюдения законов и иных нормативных правовых актов, содействия в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности, контроля количества и качества выполняемой работы и обеспечения сохранности имущества; ведения кадрового, бухгалтерского и воинского учета; размещения на общедоступных источниках персональных данных;

−        реализации трудовых отношений, ведения личных дел (карточек), ведения воинского учета;

−        оформления договорных отношений, в том числе гражданско-правового характера;

−        рассмотрение обращений граждан;

−        осуществления медицинской деятельности, оказания медицинских услуг населению, регистрации и обработки сведений, необходимых для реализации полномочий БУ «Советская психоневрологическая больница».

4. Категории субъектов, персональные данные которых обрабатываются

4.1. В соответствии с целями обработки ПДн, указанными в п. 3. настоящей Политики, БУ «Советская психоневрологическая больница» осуществляется обработка следующих категорий субъектов персональных данных:

-                   сотрудники;

-                   родственники сотрудников;

-                   физические лица, вступающие с БУ «Советская психоневрологическая больница» в договорные отношения по договору гражданско-правового характера;

-                   физические лица, чьи персональные данные обрабатываются в связи с осуществлением функций государственного заказчика при осуществлении закупок товаров, работ, услуг для обеспечения нужд БУ «Советская психоневрологическая больница» в соответствии с Федеральным законом от 05.04.2013 № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд» и Федеральным законом от 18.07.2011 № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц»;

-                   граждане, обратившиеся непосредственно в БУ «Советская психоневрологическая больница», а также граждане, чьи обращения поступили в БУ «Советская психоневрологическая больница» в соответствии с его компетенцией из других организаций;

-                   пациенты;

-                   судебные медицинские эксперты.

4.2. Перечень обрабатываемых персональных данных утвержден приказом БУ «Советская психоневрологическая больница».

5. Принципы обработки персональных данных

5.1. Обработка ПДн осуществляется на законной основе.

5.2. Обработка ПДн ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка ПДн, несовместимая с целями сбора ПДн.

5.3. Не допускается объединение баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой.

5.4. Обработке подлежат только те ПДн, которые отвечают целям их обработки.

5.5. Содержание и объем ПДн соответствуют заявленным целям обработки. Обрабатываемые ПДн не являются избыточным по отношению к заявленным целям их обработки.

5.6. При обработке ПДн обеспечены точность ПДн, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки ПДн. БУ «Советская психоневрологическая больница» обеспечивается принятие необходимых мер по удалению или уточнению неполных или неточных данных.

5.7. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн, если срок хранения ПДн не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

6. Условия обработки персональных данных

6.1. Условия обработки специальных категорий ПДн:

Обработка специальных категорий ПДн осуществляется БУ «Советская психоневрологическая больница» с условием, что субъект ПДн дал согласие в письменной форме на обработку своих ПДн.

6.2. Условия обработки иных категорий ПДн:

6.2.1. Обработки иных категорий ПДн осуществляется БУ «Советская психоневрологическая больница» с соблюдением следующих условий:

-     обработка ПДн необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на БУ «Советская психоневрологическая больница» функций, полномочий и обязанностей;

-     обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн, а также для заключения договора по инициативе субъекта ПДн или договора, по которому субъект ПДн будет являться выгодоприобретателем или поручителем;

-     обработка ПДн осуществляется с согласия субъекта ПДн на обработку его ПДн.

6.3. Условия обработки общедоступных категорий ПДн:

6.3.1. Осуществляется обработка ПДн, сделанных общедоступными с согласия субъекта ПДн.

6.4. Поручение обработки ПДн:

6.4.1. БУ «Советская психоневрологическая больница» вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора;

6.4.2. Лицо, осуществляющее обработку ПДн по договору с БУ «Советская психоневрологическая больница», соблюдает принципы и правила обработки ПДн, предусмотренные настоящей Политикой. В договоре с БУ «Советская психоневрологическая больница» определены перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, и цели обработки, установлена обязанность такого лица соблюдать конфиденциальность ПДн и обеспечивать безопасность ПДн при их обработке, а также указаны требования к защите обрабатываемых ПДн;

6.4.3. В случае, если БУ «Советская психоневрологическая больница» поручает обработку ПДн другому лицу, ответственность перед субъектом ПДн за действия указанного лица несет БУ «Советская психоневрологическая больница». Лицо, осуществляющее обработку ПДн по поручению БУ «Советская психоневрологическая больница», несет ответственность перед БУ «Советская психоневрологическая больница».

7. Конфиденциальность персональных данных

7.1. Сотрудники БУ «Советская психоневрологическая больница», получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом.

8. Общедоступные источники персональных данных

8.1. В целях информационного обеспечения БУ «Советская психоневрологическая больница» размещает ПДн на общедоступных источниках ПДн. Сведения о субъекте ПДн исключаются из общедоступных источников ПДн по требованию субъекта ПДн либо по решению суда или иных уполномоченных государственных органов.

8.2. В общедоступные источники ПДн включены следующие сведения:

8.2.1. Сотрудники:

−            фамилия, имя, отчество;

−            фотография;

−            номер рабочего телефона;

−            адрес рабочей электронной почты;

−            сведения о занимаемой должности.

9. Согласие субъекта персональных данных на обработку его персональных  данных

9.1. При необходимости обеспечения условий обработки ПДн субъекта может предоставляться согласие субъекта ПДн на обработку его ПДн.

9.2. Субъект ПДн принимает решение о предоставлении его ПДн и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку ПДн должно быть конкретным, информированным и сознательным. Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, ели иное не установлено федеральным законом. В случае получения согласия на обработку ПДн от представителя субъекта ПДн полномочия данного представителя на дачу согласия от имени субъекта ПДн проверяются БУ «Советская психоневрологическая больница».

9.3. Согласие на обработку ПДн может быть отозвано субъектом ПДн.

9.4. Обязанность предоставить доказательство получения согласия субъекта ПДн на обработку его ПДн возлагается на БУ «Советская психоневрологическая больница».

9.5. В случаях, предусмотренных федеральным законом, обработка ПДн осуществляется только с согласия в письменной форме субъекта ПДн. Равнозначным содержащему собственноручную подпись субъекта ПДн согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью. Согласие в письменной форме субъекта ПДн на обработку его ПДн должно включать в себя, в частности:

-  фамилию, имя, отчество, адрес субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

-  фамилию, имя, отчество, адрес представителя субъекта ПДн, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта ПДн);

-  наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта ПДн;

-  цель обработки ПДн;

-  перечень ПДн, на обработку которых дается согласие субъекта ПДн;

-  наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению оператора, если обработка будет поручена такому лицу;

-  перечень действий с ПДн, на совершение которых дается согласие, общее описание используемых оператором способов обработки ПДн;

-  срок, в течение которого действует согласие субъекта ПДн, а также способ его отзыва, если иное не установлено федеральным законом;

-  подпись субъекта ПДн.

9.6. В случае недееспособности субъекта ПДн согласие на обработку его ПДн дает законный представитель субъекта ПДн.

9.7. В случае смерти субъекта ПДн согласие на обработку его ПДн дают наследники субъекта ПДн, если такое согласие не было дано субъектом ПДн при его жизни.

10. Право субъекта персональных данных на доступ  к его персональным данным

10.1. Субъект ПДн имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:

-     подтверждение факта обработки ПДн БУ «Советская психоневрологическая больница»;

-     правовые основания и цели обработки ПДн;

-     цели и применяемые БУ «Советская психоневрологическая больница» способы обработки ПДн;

-     наименование и место нахождения БУ «Советская психоневрологическая больница», сведения о лицах (за исключением сотрудников БУ «Советская психоневрологическая больница»), которые имеют доступ к ПДн или которым могут быть раскрыты ПДн на основании контракта с БУ «Советская психоневрологическая больница» или на основании федерального закона;

-     обрабатываемые ПДн, относящиеся к соответствующему субъекту ПДн, источник их получения, если иной порядок предоставления таких данных не предусмотрен федеральным законом;

-     сроки обработки ПДн, в том числе сроки их хранения;

-     порядок осуществления субъектом ПДн прав, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;

-     информацию об осуществленной или о предполагаемой трансграничной ПДн;

-     наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПДн по поручению БУ «Советская психоневрологическая больница», если обработка поручена или будет поручена такому лицу;

-     иные сведения, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» или другими федеральными законами.

10.2. Субъект ПДн имеет право на получение запрашиваемой субъектом информации, за исключением следующих случаев:

-     обработка ПДн, включая ПДн, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

-     обработка ПДн осуществляется органами, осуществившими задержание субъекта ПДн по подозрению в совершении преступления, либо предъявившими субъекту ПДн обвинение по уголовному делу, либо применившими к субъекту ПДн меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими ПДн;

-     обработка ПДн осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

-     доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц;

-     обработка ПДн осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

10.3. Субъект ПДн имеет право на получение сведений, указанных в п. 10.1. настоящей Политики, за исключением случаев, при которых доступ субъекта ПДн к его ПДн нарушает права и законные интересы третьих лиц. Субъект ПДн вправе требовать от БУ «Советская психоневрологическая больница» уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

10.4. Сведения, указанные в п. 10.1. настоящей Политики, должны быть предоставлены субъекту ПДн БУ «Советская психоневрологическая больница» в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам ПДн, за исключением случаев, если имеются законные основания для раскрытия таких ПДн.

10.5. Сведения, указанные в п. 10.1. настоящей Политики, предоставляются субъекту ПДн или его представителю БУ «Советская психоневрологическая больница» при обращении либо при получении запроса субъекта ПДн или его представителя. Запрос должен содержать номер основного документа и выдавшем его органе, сведения, подтверждающие участие субъекта ПДн в отношениях с БУ «Советская психоневрологическая больница» (номер контракта, дата заключения контракта, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки ПДн БУ «Советская психоневрологическая больница», подпись субъекта ПДн или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

10.6. В случае, если сведения, указанные в п. 10.1. настоящей Политики, а также обрабатываемы ПДн были предоставлены для ознакомления субъекту ПДн по его запросу, субъект ПДн вправе обратиться повторно к БУ «Советская психоневрологическая больница» или направить ему повторный запрос в целях получения сведений, указанных в п. 10.1. настоящей Политики, и ознакомления с такими ПДн не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.

10.7. Субъект ПДн вправе обратиться повторно к БУ «Советская психоневрологическая больница» или направить ему запрос в целях получения сведений, указанных в п. 10.1. настоящей Политики, а также в целях ознакомления с обрабатываемыми ПДн до истечения срока, указанного в п. 10.5. настоящей Политики, в случае, если такие сведения и (или) обрабатываемы ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду с необходимой для запроса информацией должен содержать основание направления повторного запроса.

10.8. БУ «Советская психоневрологическая больница» вправе отказать субъекту ПДн в выполнении повторного запроса, несоответствующего условиям повторного запроса. Такой отказ должен быть мотивированным. Обязанность предоставления доказательств обоснованности отказа в выполнении повторного запроса лежит на БУ «Советская психоневрологическая больница».

11. Право на обжалование действий или бездействий бюджетного учреждения Ханты-Мансийского автономного округа – Югры

  «Советская психоневрологическая больница» 

11.1. Если субъект ПДн считает, что БУ «Советская психоневрологическая больница» осуществляет обработку его ПДн с нарушением требований Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, субъект ПДн вправе обжаловать действия или бездействия БУ «Советская психоневрологическая больница» в уполномоченный орган по защите прав субъектов персональных данных (Роскомнадзор) или в судебном порядке.

11.2. Субъект ПДн имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

12. Меры, направленные на обеспечение выполнения

бюджетным учреждением Ханты-Мансийского автономного округа – Югры «Советская психоневрологическая больница» обязанностей, предусмотренных

Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» 

12.1. Назначен ответственный за организацию обработки ПДн.

12.2. Изданы документы, определяющие политику БУ «Советская психоневрологическая больница» в отношении обработки ПДн, локальные акты по вопросам обработки ПДн, локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

12.3. Применяются правовые, организационные и технические меры по обеспечению безопасности ПДн.

12.4. Утверждены правила проведения внутреннего контроля соответствия обработки ПДн требованиям Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и принятых в соответствии с ним нормативных правовых актов, настоящей Политике, локальных актов БУ «Советская психоневрологическая больница».

12.5. Проведено ознакомление сотрудников БУ «Советская психоневрологическая больница», непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о ПДн, в том числе, документами, определяющими политику БУ «Советская психоневрологическая больница» в отношении обработки ПДн, локальными актами по вопросам обработки ПДн.

13. Меры по обеспечению безопасности персональных данных при их обработке

13.1. Определены угрозы безопасности ПДн при их обработке в ИСПДн.

13.2. Применяются организационные и технические меры по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимые для выполнения требований к защите ПДн.

13.3. Применяются прошедшие в установленном порядке процедуру оценки соответствия средства защиты информации.

13.4. Ведется учет машинных носителей ПДн.

13.5. Выполняются меры по обнаружению фактов несанкционированного доступа к ПДн и принятию соответствующих мер.

13.6. Определен комплекс мер по восстановлению ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

13.7. Установлены правила доступа к ПДн, обрабатываемым в ИСПДн, обеспечена регистрация и учет всех действий, совершаемых с ПДн в ИСПДн.

13.8. При передаче (подготовке к передаче) ПДн по каналам связи, имеющим выход за пределы контролируемой зоны, защита от раскрытия, модификации или навязывания (ввода ложной информации) осуществляется путем применения в соответствии с законодательством Российской Федерации средств криптографической защиты информации.

13.9. Для исключения несанкционированного просмотра ПДн на устройствах вывода (отображения, печати) информации, как из-за пределов контролируемой зоны, так и в пределах контролируемой зоны, их не размещают напротив оконных проемов, входных дверей, в коридорах, холлах и иных местах, доступных для несанкционированного просмотра.

13.10. Осуществляется выявление, анализ и устранение уязвимостей ИСПДн на этапах создания и эксплуатации ИСПДн. Такие проверки проводятся с периодичностью один раз в месяц, с учетом того, что должны быть проведены обязательные проверки для критических уязвимостей в случае опубликования в общедоступных источниках информации о новых уязвимостях в средствах защиты информации, технических средствах и программном обеспечении, применяемом в ИСПДн. При выявлении уязвимости составляется отчет и разрабатывается план по их устранению.

13.11. Осуществляется непрерывный контроль за принимаемыми мерами по обеспечению безопасности ПДн и уровнем защищенности персональных данных.



8 (34675) 3-93-52

Советский район, с.п. Алябьевский.

sekretar.spnd@gmail.com