Политика обработки персональных данных

ПОЛИТИКА

обработки персональных данных государственного бюджетного учреждения здравоохранения Ставропольского края
«Краевая детская клиническая больница»

1. Общие положения

1.1. Назначение политики

Настоящий документ (далее — Политика) определяет цели и общие принципы обработки персональных данных, а также реализуемые меры защиты персональных данных в государственном бюджетном учреждении здравоохранения Ставропольского края «Краевая детская клиническая больница» (далее — Оператор).

Политика является общедоступным документом Оператора и предусматривает возможность ознакомления с ней любых лиц.

1.2. Основные понятия

• Автоматизированная обработка персональных данных — обработка с использованием вычислительной техники.
• Безопасность персональных данных — защищенность данных, обеспечивающая их конфиденциальность, целостность и доступность.
• Блокирование персональных данных — временное прекращение обработки (кроме случаев уточнения данных).
• Информационная система персональных данных — базы данных и обеспечивающие их обработку технологии и средства.
• Конфиденциальность персональных данных — обязательство не раскрывать данные без законных оснований.
• Несанкционированный доступ — доступ к информации с нарушением установленных правил.
• Обработка персональных данных — любые операции с данными (сбор, хранение, использование, передача и т.д.).
• Обезличивание персональных данных — действия, исключающие возможность идентификации субъекта.
• Оператор — лицо или орган, определяющий цели и способы обработки данных.
• Персональные данные — информация о физическом лице.
• Предоставление персональных данных — раскрытие определенному кругу лиц.
• Распространение персональных данных — раскрытие неопределенному кругу лиц.
• Технические средства — оборудование и ПО для обработки данных.
• Трансграничная передача — передача данных за пределы РФ.
• Угрозы безопасности — условия, создающие риск несанкционированного доступа.
• Уничтожение персональных данных — действия, делающие невозможным восстановление данных.

1.3. Основные права Оператора

Оператор имеет право:

• проверять полноту и актуальность персональных данных;
• прекращать отношения при выявлении недостоверных данных;
• проверять полномочия представителей субъектов;
• обрабатывать данные без согласия при наличии законных оснований (ФЗ №152-ФЗ);
• отказывать в доступе к данным при несоблюдении требований закона;
• поручать обработку третьим лицам (с согласия субъекта).

1.4. Основные обязанности Оператора

Оператор обязан:

• не обрабатывать данные без согласия (если не предусмотрено законом);
• блокировать данные при выявлении нарушений;
• уточнять неточные данные в течение 7 рабочих дней;
• прекращать незаконную обработку в течение 3 рабочих дней;
• уничтожать данные при невозможности их законной обработки — до 10 рабочих дней;
• прекращать обработку при достижении целей — до 30 дней;
• уничтожать данные при отзыве согласия — до 30 дней;
• уведомлять субъектов и уполномоченные органы.

1.5. Основные права субъекта персональных данных

Субъект имеет право:

1. Получать информацию о своих данных и их обработке.
2. Бесплатно получать доступ к своим данным.
3. Требовать исправления, блокирования или удаления данных.
4. Требовать уведомления третьих лиц об изменениях данных.
5. Обжаловать действия Оператора в суде или уполномоченном органе.

Повторный запрос возможен:

• через 30 дней, либо
• раньше — при неполном ответе.

2. Цели сбора персональных данных

Обработка данных осуществляется исключительно для:

• установления медицинских диагнозов;
• оказания медицинских услуг.

3. Правовые основания обработки

Оператор руководствуется:

1. Лицензией на медицинскую деятельность
2. ФЗ №152-ФЗ «О персональных данных»
3. ФЗ №323-ФЗ «Об основах охраны здоровья граждан»
4. ФЗ №326-ФЗ «Об обязательном медицинском страховании»
5. ФЗ №255-ФЗ (соцстрахование)
6. НПА Минздрава РФ и Ставропольского края
7. Уставом учреждения

4. Объем и категории персональных данных

Категории субъектов:

1) Пациенты

• Специальные данные: диагноз, состояние здоровья, лечение, обследования
• Иные данные:
  • ФИО
  • дата рождения
  • контакты
  • адрес
  • паспорт
  • пол
  • полис ОМС
  • даты обращения и выписки

2) Представители пациентов

• родственная связь
• ФИО
• телефон
• место работы

3) Работники

• ФИО
• СНИЛС
• ИНН
• дата рождения
• должность
• специальность

5. Порядок и условия обработки

5.1. Действия с данными

• сбор, запись, хранение
• использование
• передача
• блокирование
• удаление и уничтожение

5.2. Способы обработки

• смешанная обработка
• использование внутренних сетей и интернета

5.3. Передача третьим лицам

Требуется обеспечение защиты данных.
Допускается передача в государственные органы по закону.

5.4. Меры безопасности

Включают:

• оценку рисков;
• внутренний контроль и аудит;
• обучение сотрудников;
• учет носителей;
• восстановление данных;
• назначение ответственного;
• использование сертифицированных средств защиты;
• контроль доступа;
• мониторинг и предотвращение несанкционированного доступа.

5.5. Локализация данных

Базы данных находятся на территории РФ.

5.6. Сроки хранения

Данные уничтожаются при:

• достижении целей обработки;
• прекращении деятельности;
• истечении срока хранения.

5.7. Обработка без автоматизации

Осуществляется в соответствии с Постановлением №687:

• данные хранятся отдельно;
• используются специальные носители;
• срок хранения ограничен целями обработки.

6. Работа с запросами субъектов

• Запросы регистрируются в журналах.
• Ответ предоставляется в течение 30 дней.
• Доступ осуществляется под контролем ответственного лица.
• Возможен отказ при недостаточности данных или нарушении прав третьих лиц.

7. Работа с запросами органов

Оператор обязан:

• ответить в течение 30 дней;
• предоставить необходимые сведения;
• подготовить мотивированный ответ.