ПОЛИТИКА ГОСУДАРСТВЕННОГО БЮДЖЕТНОГО УЧРЕЖДЕНИЯ ЗДРАВООХРАНЕНИЯ АМУРСКОЙ ОБЛАСТИ»АМУРСКОГО ОБЛАСТНОГО ПРОТИВОТУБЕРКУЛЕЗНОГО ДИСПАНСЕРА» в отношении обработки персональных данных

1. Общие положения

Основные понятия, используемые в Политике общества (полное наименование учреждения) (далее – сокращенное наименование учреждения) в отношении обработки персональных данных (далее — Политика):

— персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

— оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках настоящего документа под оператором подразумевается (наименование МО);

— обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

— автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

— распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

— предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

— блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

— уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

— обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

— информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

— трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

— безопасность персональных данных — состояние защищенности персональных данных, при котором обеспечены их конфиденциальность, доступность и целостность;

— конфиденциальность персональных данных — обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия ее обладателя;

— целостность персональных данных — состояние персональных данных, при котором отсутствует любое их изменение либо изменение осуществляется только преднамеренно оператором, имеющим на это право.

— доступность персональных данных — состояние персональных данных, при котором субъекты, имеющие права доступа к персональным данным, могут реализовать беспрепятственно это право.

Согласно действующему законодательству Российской Федерации (наименование МО) для достижения целей своей деятельности имеет право осуществлять обработку персональных данных как оператор персональных данных.

При обработке персональных данных (наименование МО) обязуется:

— соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;

— принимать необходимые правовые, организационные и технические меры, предусмотренные Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

— соблюдать безопасность, в том числе конфиденциальность персональных данных.

Согласно действующему законодательству Российской Федерации субъект персональных данных имеет право:

— на получение информации, касающейся обработки его персональных данных;

— требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

2. Сведения об операторе персональных данных

Наименование:    ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ УЧРЕЖДЕНИЕ ЗДРАВООХРАНЕНИЯ АМУРСКОЙ ОБЛАСТИ»АМУРСКИЙ ОБЛАСТНОЙ ПРОТИВОТУБЕРКУЛЕЗНЫЙ ДИСПАНСЕР»

ИНН:                   2801032142

Адрес:                 675005, Амурская область, город Благовещенск, Литейная ул., д. 5

Телефон:             +74162516078

Эл. почта:             aoptd@amurzdrav.ru

Адрес сайта:        aoptd.ru

3. Цели сбора персональных данных

 Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей.

Целями сбора и обработки персональных данных исходя из осуществляемой деятельности являются:

• осуществление медицинской деятельности и связанных с нею действий;
• осуществление трудовых отношений и иных непосредственно связанных с ними отношений;
• осуществление хозяйственной, закупочной и прочих видов деятельности, направленных на обеспечение функционирования организации;
• популяризация оказываемых услуг на сайте (наименование МО) ______ (осуществляется сбор статистики о посетителях веб-сайта, посредством интернет-сервисов Yandex.Metrika).

4. Правовые основания обработки персональных данных

 Правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми (наименование МО) осуществляет обработку персональных данных.

Основными правовыми актами и документами на основании которых (наименование МО) осуществляет обработку персональных данных являются:

• Гражданский кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Трудовой кодекс Российской Федерации» от 30.12.2001 № 197-ФЗ;
• Федеральный закон от 01.04.1996 № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»;
• Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
• Федеральный закон от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
• Федеральный закон от 28.03.1998 № 53-ФЗ «О воинской обязанности и военной службе»;
• Постановление Правительства РФ от 11.05.2023 № 736 «Об утверждении Правил предоставления медицинскими организациями платных медицинских услуг, внесении изменений в некоторые акты Правительства Российской Федерации и признании утратившим силу постановления Правительства Российской Федерации от 4 октября 2012 г. N 1006»;
• Постановление Правительства РФ от 09.02.2022 № 140 «О единой государственной информационной системе в сфере здравоохранения»;
• Постановление Правительства РФ от 12.04.2018 № 447 «Об утверждении Правил взаимодействия иных информационных систем, предназначенных для сбора, хранения, обработки и предоставления информации, касающейся деятельности медицинских организаций и предоставляемых ими услуг, с информационными системами в сфере здравоохранения и медицинскими организациями»;
• Действующий устав (наименование МО);
• договоры, заключаемые между (наименование МО) и юридическими лицами, индивидуальными предпринимателями;
• договоры, заключаемые между (наименование МО) и субъектами персональных данных;
• согласия субъектов персональных данных на обработку персональных данных (в том числе в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям (наименование МО).

 

5. Объем, категории и сроки обрабатываемых персональных данных,

категории субъектов персональных данных

 

Содержание и объем собираемых и обрабатываемых (наименование МО) персональных данных соответствуют заявленным целям обработки. (наименование МО) не осуществляет сбор и обработку персональных данных являющихся избыточными по отношению к заявленным целям их обработки.

В рамках осуществления медицинской деятельности (наименование МО) обрабатывает специальные категории персональных данных – сведения о состоянии здоровья. Сбор и обработка других видов специальных категорий персональных данных не осуществляется.

В рамках своей деятельности (наименование МО) не обрабатывает биометрические категории персональных данных.

В (наименование МО) осуществляется обработка общедоступных персональных данных. Персональные данные становятся общедоступными исключительно на основании согласия на это субъекта персональных данных.

В (наименование МО) не осуществляется обезличивание персональных данных.

К категориям субъектов персональных данных, чьи персональные данные обрабатываются (наименование МО) относятся:

• работники (наименование МО), бывшие работники, родственники работников, а также их уполномоченные представители;
• клиенты (пациенты) (наименование МО), а также их уполномоченные представители;
• представители организаций контрагентов (наименование МО) (юридических лиц, индивидуальных предпринимателей, самозанятые граждане).

Объем обрабатываемых персональных данных – менее 100 тыс. по каждой из категорий субъектов персональных данных.

С целью осуществления трудовых отношений и иных непосредственно связанных с ними отношений в (наименование МО) обрабатываются следующие категории персональных данных: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; семейное положение; социальное положение; доходы; пол; адрес электронной почты; адрес места жительства; адрес регистрации; номер телефона; СНИЛС; ИНН; гражданство; данные документа, удостоверяющего личность; данные документа, содержащиеся в свидетельстве о рождении; реквизиты банковской карты; номер расчетного счета; профессия; должность; сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации); отношение к воинской обязанности, сведения о воинском учете; сведения об образовании; табельный номер; сведения о знании иностранного языка; реквизиты и данные трудовой книжки; вкладыш к трудовой книжке; сведения о составе и членах семьи, о ближайших родственниках: фамилия, имя, отчество, год рождения, степень родства, место учебы; сведения и реквизиты документов о медицинских осмотрах; сведения об отпусках; сведения об увольнении; сведения, содержащиеся в исполнительных листах, постановлениях судебных приставов, решениях суда; сведения о членстве в медицинских профессиональных некоммерческих организациях; фотографии, видеоизображения сотрудника.

С целью осуществления медицинской деятельности и связанных с нею действий в (наименование МО) обрабатываются следующие категории персональных данных: фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; пол; адрес места жительства; адрес регистрации; СНИЛС; гражданство; данные документа, удостоверяющего личность; данные документа, содержащиеся в свидетельстве о рождении; профессия; должность; специальные категории персональных данных сведения о состоянии здоровья; номер полиса обязательного (добровольного) медицинского страхования застрахованного лица; анамнез, в том числе сведения о медицинских вмешательствах, реакциях на медицинские препараты; диагноз заболевания (состояние), включая его код по Международной статистической классификации болезней и проблем, связанных со здоровьем; вид оказанной медицинской помощи; условия оказания медицинской помощи; сроки оказания медицинской помощи; объем оказанной медицинской помощи, включая сведения об оказанных медицинских услугах; результат обращения за медицинской помощью; серия и номер выданного листка нетрудоспособности; сведения о проведенных медицинских экспертизах, медицинских осмотрах и медицинских освидетельствованиях и их результаты; примененные клинические рекомендации; сведения о назначении лекарственных препаратов, медицинских изделий и специализированных продуктов лечебного питания; сведения о датах и целях посещений медицинской организации; место работы; специальность; фотографии, видеоизображения пациента; данные документа, удостоверяющего полномочия законного представителя.

С целью осуществления хозяйственной, закупочной и прочих видов деятельности, направленных на обеспечение функционирования организации в (наименование МО) обрабатываются следующие категории персональных данных: фамилия, имя, отчество; адрес электронной почты; номер телефона; ИНН; данные документа, удостоверяющего личность; номер расчетного счета; должность; место работы (наименование организации или индивидуального предпринимателя); адрес места работы.

В (наименование МО) установлены следующие сроки обработки персональных данных, исходя из целей обработки персональных данных:

Цели обработки	Срок обработки
Осуществление трудовых отношений и иных непосредственно связанных с ними отношений	до 75 лет
Осуществление медицинской деятельности и связанных с нею действий	до 50 лет
Осуществление хозяйственной, закупочной и прочих видов деятельности, направленных на обеспечение функционирования организации	6 лет
Популяризация оказываемых услуг на сайте https://medline.su (сбор статистики о посетителях веб-сайта, посредством интернет-сервисов Yandex.Metrika)	до 2 лет

 Порядок и условия обработки персональных данных

 (наименование МО), в рамках своей деятельности, осуществляет обработку персональных данных с использованием средств автоматизации или без использования таких средств. Обработка персональных данных включает: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), блокирование, удаление, уничтожение персональных данных.

В соответствии с действующим законодательством Российской Федерации, нормативными актами Министерства здравоохранения Российской Федерации и других ведомств, договорами, в рамках достижения целей обработки персональных данных (наименование МО) осуществляет передачу персональных данных третьим лицам:

1) с целью осуществления медицинской деятельности:

• одному из родителей или иному законному представителю несовершеннолетнего в случае оказания ему медицинской помощи (с целью информирования);
• медицинским организациям, в целях проведения медицинского обследования и лечения пациента, который в результате своего состояния не способен выразить свою волю;
• медицинским организациям, медицинскую информацию в том числе размещенную в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства РФ о персональных данных;
• участникам системы обязательного медицинского страхования (в ТФОМС Амурской области и страховые медицинские организации) с целью осуществления взаимных расчетов за оказанную медицинскую помощь в рамках обязательного медицинского страхования;
• в Единую государственную информационную систему в сфере здравоохранения;
• уполномоченным исполнительным органам государственной власти при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;

2) с целью информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий;

3) с целью проведения расследований, судебных разбирательств, исполнения уголовного наказания и/или осуществлением контроля, надзора:

— органам дознания, следствия, суда и иным уполномоченным органам по запросу и по основаниям, предусмотренным действующим законодательством Российской Федерации;

— уполномоченным федеральным органам исполнительной власти, в целях осуществления контроля за исполнением лицами, признанными больными наркоманией либо потребляющими наркотические средства или психотропные вещества без назначения врача, либо новые потенциально опасные психоактивные вещества, возложенной на них при назначении административного наказания судом обязанности пройти лечение от наркомании, диагностику, профилактические мероприятия и (или) медицинскую реабилитацию;

4) с целью осуществления трудовых отношений и иных непосредственно связанных с ними отношений:

— Управление Федеральной налоговой службы по Амурской области;

— Отделение фонда пенсионного и социального страхования Российской Федерации по Амурской области;

— военные комиссариаты.

5) с целью осуществления хозяйственной, закупочной и прочих видов деятельности, направленных на обеспечение функционирования организации, могут распространяться персональные данные содержащиеся в договорах, доверенностях, списках контактных данных специалистов по закупкам и материально ответственных лиц.

В соответствии с ч. 1 п. 7 ст. 79 Федерального закона от 21.11.2022 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и приказа Минздрава Российской Федерации от 30.12.2014 № 956н «Об информации, необходимой для проведения независимой оценки качества оказания услуг медицинскими организациями, и требованиях к содержанию и форме предоставления информации о деятельности медицинских организаций, размещаемой на официальных сайтах Министерства здравоохранения Российской Федерации, органов государственной власти субъектов Российской Федерации, органов местного самоуправления и медицинских организаций в информационно-телекоммуникационной сети «Интернет» (наименование МО), на основании письменного согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, размещает на своем официальном сайте сведения (персональные данные) о врачах (наименование МО), для проведения независимой оценки качества оказания услуг.

Передача (наименование МО) персональных данных за пределы Российской Федерации (трансграничная передача) не осуществляется.

Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации (наименование МО) не осуществляется.

Принятие решений на основании исключительно автоматизированной обработки персональных данных, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы (наименование МО) не осуществляется.

При сборе персональных данных (наименование МО), в соответствии с ч. 5 ст. 18 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных с использованием баз данных, находящихся на территории Российской Федерации.

(наименование МО) соблюдает требования конфиденциальности персональных данных, установленных ст. 7 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», не раскрывает третьим лицам и не распространяет персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральными законами.

С целью обеспечения безопасности персональных данных (обеспечения конфиденциальности, целостности и доступности персональных данных) (наименование МО) соблюдает правовые меры и принимает организационные и технические меры, предусмотренные ст. 18.1 и ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Обеспечение (наименование МО) безопасности персональных данных достигается:

— определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

— применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

— применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

— оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных;

— учетом машинных носителей персональных данных;

— обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;

— восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

— установлением правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных;

— контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;

— оценкой вреда, который может быть причинен субъектам персональных данных в случае нарушения безопасности персональных данных, соотношение указанного вреда и принимаемых мер;

— ознакомлением работников (наименование МО), непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику (наименование МО) в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучением указанных работников;

— прекращением обработки персональных данных вследствие достижения целей обработки персональных данных, истечения срока действия согласия или отзыва согласия субъекта персональных данных на обработку его персональных данных, а также выявление факта неправомерной обработки персональных данных;

— хранением персональных данных в форме, позволяющей определить субъекта персональных данных не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных.

Сотрудники (наименование МО), виновные в нарушении порядка обращения с персональными данными, несут персональную дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.

7. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

В соответствии со ст. 20 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», при обращении субъекта персональных данных или его законного представителя, (наименование МО), на безвозмездной основе, предоставляет им информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставляет субъекту персональных данных или его представителю возможность ознакомления с персональными данными, относящимися к этому субъекту персональных данных. (наименование МО) имеет право, отказать в предоставлении информации о наличии персональных данных о соответствующем субъекте персональных данных или персональных данных субъекту персональных данных или его представителю при их обращении либо при получении запроса субъекта персональных данных или его представителя, при этом предоставив мотивированный ответ, содержащий ссылку на положение ч.8 ст.14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа.

Реализация прав субъектов персональных данных на получение информации, касающейся обработки его персональных данных осуществляется в соответствии с «Правилами рассмотрения запросов субъектов персональных данных», утвержденных в (наименование МО).

В случае выявления неправомерной обработки персональных данных при обращении либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных (наименование МО) осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении субъекта персональных данных или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных (наименование МО) осуществляет блокирование персональных данных, относящихся к этому субъекту персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы субъекта персональных данных или третьих лиц.

В случае подтверждения факта неточности персональных данных (наименование МО) на основании сведений, представленных субъектом персональных данных или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязана уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению (наименование МО) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.

В случае выявления неправомерной обработки персональных данных, осуществляемой (наименование МО) или лицом, действующим по поручению (наименование МО), (наименование МО), не превышающий трех рабочих дней с даты этого выявления, обязана прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению (наименование МО). В случае, если обеспечить правомерность обработки персональных данных невозможно, (наименование МО) в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязано уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных (наименование МО) обязана уведомить субъекта персональных данных или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.

В случае подтверждения факта неточности персональных данных или неправомерности их обработки, персональные данные подлежат их актуализации, а обработка прекращается, соответственно.

При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных согласия на их обработку персональные данные подлежат уничтожению, если:

— иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных;

— (наименование МО) не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных от 27.07.2006 № 152-ФЗ «О персональных данных» или иными федеральными законами;

— иное не предусмотрено иным соглашением между (наименование МО) и субъектом персональных данных.

8. Заключительные положения.

 Настоящая Политика утверждается главным врачом (наименование МО).

Политика обязательна для соблюдения всеми сотрудниками (наименование МО) и подлежит доведению до всех сотрудников и заинтересованных лиц, и опубликованию на официальном сайте (наименование МО).

Контроль за соблюдением Политики осуществляет ответственный за организацию обработки персональных данных в (наименование МО).