Политика конфиденциальности

Общие положения

* Организация заполняет самостоятельно

Настоящая политика обработки персональных данных составлена в соответствии с требованиями Федерального закона от 27.07.2006. №152-ФЗ «О персональных данных» (далее - Закон о персональных данных) и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных, предпринимаемые «Полное название организации» (далее – Оператор)

1. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну
2. Настоящая политика Оператора в отношении обработки персональных данных (далее – Политика) применяется ко всей информации, которую Оператор может получить о посетителях веб-сайта https://site-r00.gosweb.gosuslugi.ru/                                                                

Основные понятия, используемые в Политике

1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники
2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных)
3. Веб-сайт — совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://site-r00.gosweb.gosuslugi.ru/
4. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств
5. Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных
6. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных
7. Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными
8. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому Пользователю веб-сайта https://site-r00.gosweb.gosuslugi.ru/
9. Персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Законом о персональных данных (далее - персональные данные, разрешенные для распространения)
10. Пользователь – любой посетитель веб-сайта https://site-r00.gosweb.gosuslugi.ru/
11. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц
12. Распространение персональных данных – любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом
13. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу
14. Уничтожение персональных данных – любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) уничтожаются материальные носители персональных данных                                                                         

Основные права и обязанности Оператора

1. Оператор имеет право:
   • получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные
   • в случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе о персональных данных
   • самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом о персональных данных или другими федеральными законами
2. Оператор обязан:
   • предоставлять субъекту персональных данных по его просьбе информацию, касающуюся обработки его персональных данных
   • организовывать обработку персональных данных в порядке, установленном действующим законодательством РФ
   • отвечать на обращения и запросы субъектов персональных данных и их законных представителей в соответствии с требованиями Закона о персональных данных
   • сообщать в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение 30 дней с даты получения такого запроса
   • публиковать или иным образом обеспечивать неограниченный доступ к настоящей Политике в отношении обработки персональных данных
   • принимать правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных
   • прекратить передачу (распространение, предоставление, доступ) персональных данных, прекратить обработку и уничтожить персональные данные в порядке и случаях, предусмотренных Законом о персональных данных
   • исполнять иные обязанности, предусмотренные Законом о персональных данных                                                                     

Основные права и обязанности субъектов персональных данных

1. Субъекты персональных данных имеют право:
   • получать информацию, касающуюся обработки его персональных данных, за исключением случаев, предусмотренных федеральными законами. Сведения предоставляются субъекту персональных данных Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, когда имеются законные основания для раскрытия таких персональных данных. Перечень информации и порядок ее получения установлен Законом о персональных данных
   • требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав
   • выдвигать условие предварительного согласия при обработке персональных данных в целях продвижения на рынке товаров, работ и услуг
   • на отзыв согласия на обработку персональных данных
   • обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных
   • на осуществление иных прав, предусмотренных законодательством РФ
2. Субъекты персональных данных обязаны:
   • предоставлять Оператору достоверные данные о себе
   • сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных
3. Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством РФ

Оператор может обрабатывать следующие персональные данные Пользователя

1. Фамилия, имя, отчество
2. Электронный адрес
3. Также на сайте происходит сбор и обработка обезличенных данных о посетителях (в т.ч. файлов «cookie») с помощью сервисов интернет-статистики (Яндекс Метрика и других)
4. Вышеперечисленные данные далее по тексту Политики объединены общим понятием Персональные данные

Принципы обработки персональных данных

1. Обработка персональных данных осуществляется на законной и справедливой основе
2. Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных
3. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой
4. Обработке подлежат только персональные данные, которые отвечают целям их обработки
5. Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки
6. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор принимает необходимые меры и/или обеспечивает их принятие по удалению или уточнению неполных или неточных данных
7. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом

ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ В ОГБУЗ «КОРОЧАНСКАЯ ЦРБ»

ПОЛОЖЕНИЕ

ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

В ОГБУЗ «КОРОЧАНСКАЯ ЦРБ»

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящее Положение устанавливает порядок получения, учета, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным в ОГБУЗ «Корочанская ЦРБ» (далее – Учреждение).

 1.2. Цель настоящего Положения - защита персональных данных от несанкционированного доступа и разглашения. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией.

1.3. Основанием для разработки настоящего Положения являются Конституция РФ, Трудовой Кодекс РФ, Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», иные действующие законы и нормативно-правовые акты РФ.

1.4. Настоящее Положение утверждается руководителемУчреждения, вступает в силу с момента его утверждения и действует бессрочно, до замены его новым Положением. Все изменения в Положение вносятся отдельным приказом руководителемУчреждения.

1.5. Действие настоящего положения не распространяется на персональные данные, отнесенные в установленном порядке к сведениям, составляющим государственную тайну, порядок обработки которых регламентируется нормативными и методическими документами в области защиты государственной тайны.

1.6. В настоящем Положении используются следующие термины и определения:

Оператор персональных данных (далее оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках настоящего положения оператором являетсяУчреждение.

Субъект персональных данных(далее субъектПДн) – физическое лицо.

Персональные данные (далее ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая Учреждению в связи с трудовыми отношениями и ведением деятельности.

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

2. ПОНЯТИЕ, СОСТАВ, ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ  ПО КАТЕГОРИЯМ

2.1.      Персональные данные работников – информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника. Обработка персональных данных работников Учреждения (получение, хранение, комбинирование, передача или любое другое использование персональных данных работника) осуществляется с целью обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества. Запрещается требовать от лица, поступающего на работу, документы помимо предусмотренных Трудовым кодексом, иными федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации (Трудовой кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ).

Информация, представляемая работником при поступлении на работу в Учреждение, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:

- паспорт или иной документ, удостоверяющий личность;

- трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;

- страховое свидетельство государственного пенсионного страхования;

- свидетельство о постановке на учёт в налоговый орган и присвоения ИНН;

- документы воинского учета - для военнообязанных и лиц, подлежащих воинскому учету;

- документы об образовании, о квалификации или наличии специальных знаний или специальной подготовки;

- справку о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям, выданную в порядке и по форме, которые устанавливаются федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере внутренних дел;

- медицинское заключение о состоянии здоровья.

2.2. Персональные данные пациентов - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, диагноз, медицинская информация и т.д.

Обработка персональных данных пациента может осуществляться исключительно в целях оказания медицинских услуг, в рамкахвозложенных законодательством Российской Федерации на Учреждение функций, полномочий и обязанностей.

Информация о персональных данных пациента предоставляется Учреждению субъектом ПДн устно, либо путем заполнения медицинских карт, которые хранятся в регистратуре (архиве).

При обращении в лечебное учреждение пациент представляет следующие документы, содержащие персональные данные о себе:

- паспорт или иной документ, удостоверяющий личность, гражданство;

- полис ОМС;

- страховой номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС);

- в отдельных случаях с учетом специфики обследования вУчреждении, в соответствии с действующим законодательством РФ, может предусматриваться необходимость предъявления дополнительных документов.

2.3. Перечни обрабатываемых персональных данных по категориям приведен в документе «Перечень информационных систем персональных данных (ИСПДн) Учреждения и перечень обрабатываемых в этих ИСПДн персональных данных», утверждаемый приказом руководителя Учреждения.

3. СБОР, ХРАНЕНИЕ И УНИЧТОЖЕНИЕПЕРСОНАЛЬНЫХ ДАННЫХ

1. 1. Порядок получения персональных данных.

Все персональные данные субъектов ПДн следует получать у них самих.

Пациент при обращении в Учреждение  дает письменное согласие на обработку своих персональных данных (Приложение №1 Согласие на обработку персональных данных пациента) или подтверждает свое согласие в талоне амбулаторного пациента. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных (Приложение №2) дает законный представитель субъекта персональных данных.

Должностное лицо Учреждения должно сообщить о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта дать письменное согласие на их получение.

Учреждениене имеет права получать и обрабатывать персональные данные субъектов ПДн, касающиеся расовой, национальной принадлежности, политических взглядов, о его членстве в общественных объединениях или его профсоюзной деятельности, религиозных или философских убеждений и частной жизни без письменного согласия субъекта ПДн, либо его законного представителя, за исключением случаев, предусмотренных законодательством.

1. 2. Персональные данные субъектов ПДн Учреждения должны храниться на бумажных и электронных носителях с ограниченным доступом, в специально предназначенных для этого помещениях в металлических хранилищах. Места хранения материальных носителей персональных данных определяются соответствующими приказами по Учреждению.

В процессе хранения персональных данных в Учреждении должны обеспечиваться:

- требования нормативных документов, устанавливающих правила хранения конфиденциальных сведений;

- сохранность имеющихся данных, ограничение доступа к ним, в соответствии с законодательством Российской Федерации и настоящим Положением;

- контроль за достоверностью и полнотой персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений.

1. 3. Ответственные за обеспечение  безопасности персональных данныхосуществляют контроль за хранением персональных данных в соответствии с требованиями к учету и хранению конфиденциальных сведений в информационной системе.
   4. Подразделения, хранящие персональные данные на бумажных носителях, обеспечивают их защиту от несанкционированного доступа и копирования согласно «Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденному постановлением правительства РФ 15 сентября 2008 г. №687.
   5. Обрабатываемые персональные данные подлежат уничтожению либо обезличиваниюпо достижении целей обработки или в случае утраты необходимости в их достижении, если иное не установлено действующим законодательством. В результате уничтожения персональных данных становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и  уничтожаются материальные носители персональных данных. Решение об уничтожении принимается Руководителем Учреждения, на основании ходатайства ответственного за организацию обработки ПДн.

Уничтожение бумажных носителей должно осуществляться сотрудниками, допущенными к обработке персональных данных, путем, не допускающим дальнейшую возможность ознакомления с данными документами. Уничтожение информации на автоматизированных рабочих местах должно осуществляется комиссией, способами не позволяющими осуществить восстановление данных.

При уничтожении данных составляется, в обязательном порядке, акт с указанием, какие именно документы и файлы были уничтожены.

4. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1.При передаче персональных данных третьим лицам должны соблюдаться следующие требования:

- не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, установленных федеральными законами;

- предупреждать лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется на обмен персональными данными субъектов в порядке, установленном федеральными законами;

- передавать персональные данные субъекта представителям соответствующих государственных органов в порядке, установленном Трудовым кодексом Российской Федерации и Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.

4.2. Оператор имеет право во исполнение своих обязательств по работе в системе ОМС (по договору ДМС) на обмен (прием и передачу) персональными данными со страховыми медицинскими организациями и территориальным фондом ОМС, на основании приказа Федерального фонда обязательного медицинского страхования от 07.04.2011 № 79 «Об утверждении Общих принципов построения и функционирования информационных систем и порядка информационного взаимодействия в сфере обязательного медицинского страхования», с использованием машинных носителей или по каналам связи, с соблюдением мер, обеспечивающих их защиту от несанкционированного доступа.

5. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

Перечень лиц, имеющих право доступа к персональным данным, определяется документом «Перечень сотрудников, осуществляющих обработку персональных данных», утверждённым Руководителем Учреждения.Все лица, допущенные к работе с персональными данными, подписывают обязательство о неразглашении персональных данных субъектов ПДн (Приложение 3).

Субъекты ПДн, чьи персональные данные обрабатываются в Учреждении, имеют право:

- получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копий любой записи, содержащей персональные данные этого субъекта, за исключением случаев, предусмотренных Федеральными законами;

- требовать уточнения, исключения или исправлениянеполных, неверных, устаревших, недостоверных, незаконно полученных или не являющих необходимыми для оператора персональных данных;

- получать от Учреждения сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

- получать от Учреждения сведения о сроках обработки персональных данных, в том числе о сроках их хранения;

- получать от Учреждения сведения о том, какие юридические последствия для субъекта ПДн может повлечь за собой обработка его персональных данных;

- обжаловать в суде любые неправомерные действия или бездействия руководства Учреждения при обработке и защите его персональных данных.

Передача информации третьимлицам возможна только при письменном согласии субъектов.

Порядок рассмотрения запросов субъектов ПДн изложен в документе, утвержденном руководителем Учреждения – «Правила рассмотрения запросов субъектов персональных данных или их представителей».

6. ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. 1. Общие положения

Организация работ по обеспечению безопасности персональных данных осуществляется руководством Учреждения.

Для разработки и осуществления мероприятий по обеспечению безопасности персональных данных при их обработке в информационных системах Учреждения, приказом Руководителя назначается лицо, ответственное за организацию обработки персональных данных.

Лицо, ответственное за организацию обработки персональных данных, в своей деятельности руководствуется нормативными документами в области обработки персональных данных.

Разработка и осуществление мероприятий по обеспечению безопасности персональных данных может осуществляться также сторонними организациями на договорной основе, имеющими лицензии на право проведения соответствующих работ.

Лица, доступ которых к персональным данным, обрабатываемым в информационных системах, необходим для выполнения служебных (трудовых) обязанностей, допускаются к соответствующим персональным данным на основании утвержденного списка.

Мероприятия по защите персональных данных осуществляются в соответствии с внутренним планом.

1. 2. Мероприятия по обеспечению безопасности персональных данных при автоматизированной обработке.

6.2.1. Система защиты персональных данных

Безопасность персональных данных при их обработке в информационных системах обеспечивается с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические), средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии.

При обработке персональных данных в информационных системах Учреждения должно быть обеспечено:

-  Проведение мероприятий, направленных на предотвращение несанкционированного доступа к персональным данным и (или) передачи их лицам, не имеющим права доступа к такой информации.

- Своевременное обнаружение фактов несанкционированного доступа к персональным данным.

-  Недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование.

- Возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.

- Постоянный контроль над обеспечением уровня защищенности персональных данных.

6.2.2. Перечень мероприятий по обеспечению безопасности персональных данных

Мероприятия по обеспечению безопасности персональных данных при их обработке в информационных системах включают в себя:

- Определение угроз безопасности персональных данных при их обработке, формирование на их основе модели угроз.

- Разработку на основе модели угроз системы защиты персональных данных, обеспечивающей нейтрализацию предполагаемых угроз с использованием методов и способов защиты персональных данных, предусмотренных для соответствующего класса информационных систем.

- Проверку готовности средств защиты информации к использованию с составлением заключений о возможности их эксплуатации.

- Установку и ввод в эксплуатацию средств защиты информации в соответствии с эксплуатационной и технической документацией.

- Обучение лиц, использующих средства защиты информации, применяемые в информационных системах, правилам работы с ними.

- Учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных.

- Учет лиц, допущенных к работе с персональными данными в информационной системе.

- Контроль над соблюдением условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией.

- Разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработку и принятие мер по предотвращению возможных опасных последствий подобных нарушений.

- Описание системы защиты персональных данных.

6.2.3. Определение уровня защищенности информационных систем персональных данных

Информационные системы персональных данных Учреждения подлежат обязательному определению уровня защищенности.

Для проведения определения уровня защищенности информационных систем персональных данных Учреждения приказом Руководителя Учреждения назначается комиссия.

Результаты определения уровня защищенности оформляются соответствующим актом.

6.2.4. Помещения, в которых ведется обработка персональных данных

Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

6.2.5. Лица осуществляющие обработку персональных данных в автоматизированном виде обязаны соблюдать требования «Инструкции пользователя информационной системы персональных данных» Учреждения.

1. 3. Мероприятия по обеспечению безопасности персональных данных при их обработке без использования средств автоматизации.

6.3.1.Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных, либо имеющих к ним доступ.

6.3.2. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

6.3.3. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

6.3.4. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее – материальные носители), в специальных разделах или на полях форм (бланков).

6.3.5. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

6.3.6.Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе работники Учреждения или лица, осуществляющие такую обработку по договору с Организациям), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки;

6.3.7. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовая форма), должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес Организации, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, – при необходимости получения письменного согласия на обработку персональных данных;

в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

6.3.8. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

6.3.9. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

6.3.10. Правила, предусмотренные пунктами 6.3.8, 6.3.9 настоящего Положения, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.

6.3.11.Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

7. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ИНФОРМАЦИИ,СВЯЗАННОЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, установленных действующим законодательством Российской Федерации и настоящим Положением, несут дисциплинарную, административную, гражданско-правовую, уголовную и иную ответственность,  предусмотренную законодательством Российской Федерации.

Приложение №1

к Положению об обработке персональных данных

  в  ОГБУЗ «Корочанская ЦРБ»

Согласие на обработку персональных данных пациента

Я, нижеподписавшийся____________________________________________________________________,

(ФИО представителя субъекта персональных данных)

документ удостоверяющий личность _________________________серия___________№__________________,

выдан _______________20___г.,_________________________________________________________________,

                         (дата выдачи)                                                                  (кем выдан)

проживающий по адресу  ______________________________________________________________________,

                                                                        (адрес регистрации)                                                     

в соответствии стребованиями статьи9 Федерального закона от 27.07.06г. «Оперсональных данных» № 152-ФЗ, подтверждаю свое согласие, данное ОГБУЗ «Корочанская ЦРБ» (далее — Оператор), находящееся по адресу: Белгородская область, Корочанский район, г.Короча, ул.Интернациональная, д.70, на обработку персональных данных (сведений) обо мне, включающих: фамилию, имя, отчество, пол, дату рождения, адрес места жительства, контактные телефон(ы), место работы, данные паспорта (или иного документа удостоверяющего личность), реквизиты полиса ОМС (ДМС), страховой номер индивидуального лицевого счета (СНИЛС)в Пенсионном фонде России, данные омоем состоянии здоровья, заболеваниях, о случаях обращения за медицинской помощью (подробный перечень персональных данных представлен в п. 2 Положения об обработке и защите персональных данных в ОГБУЗ «Корочанская ЦРБ» в целях установления медицинского диагноза и оказания медицинских услуг.

В соответствии с требованиями статьи 10 Федерального закона от 27.07.2006 «О персональных данных» №152-ФЗ даю согласие на обработку моих персональных данных Оператором при условии, что их обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну.

Предоставляю Оператору право осуществлять все действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение.

Оператор имеет право:

- при обработке моих персональных данных вносить их в реестры, базы данныхавтоматизированных информационных систем для формирования отчётных форм и иных сведений, предоставление которых регламентировано договорами или иными документами, определяющими взаимодействие Оператора со страховыми медицинскими организациями, медицинскими организациями, органами управления здравоохранения, иными организациями;

-с целью выполнения своих обязательств, предусмотренных нормативными правовыми актами или договорами, на предоставление, передачу моих персональных данных иным организациям, при условии, что указанные предоставление передача будут осуществляться с использованием машинных носителей или по каналам связи с соблюдением мер, обеспечивающих защиту моих персональных данных от несанкционированного доступа, а также при условии, что их прием и обработка будут осуществляться лицом, обязанным сохранять профессиональную тайну.

Даю согласие на то, что срок хранения моих персональных данных соответствует сроку хранения медицинской карты и составляет двадцать пять лет. По истечении указанного срока хранения моих персональных данных Оператор обязан уничтожить все мои персональные данные, включая все копии на машинных носителях информации.

Передача персональных данных иным лицам или их разглашение может осуществляться только с моего письменного согласия.

Настоящее согласие действует до момента достижения целей обработки.

Я оставляю за собой право отозвать свое согласиеполностью или частично по моей инициативе на основании личного письменного заявления, в т.ч. и в случае ставших мне известных фактов нарушения моих прав при обработке персональных данных. В случае получения моего письменного заявления об отзыве настоящего согласия на обработку персональных данных Оператор обязанпрекратить их обработку.

Подтверждаю, что ознакомлен(а) с «Положением об обработке и защите персональных данных в ОГБУЗ «Корочанская ЦРБ», и с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», права и обязанности в области защиты персональных данных мне разъяснены.

«______»_______________20__г.                                               __________________________________         

                                                                                                                                                                                                                          (подпись)                                               

Приложение №2

к Положению об обработке персональных данных  

в ОГБУЗ «Корочанская ЦРБ»

Согласие на обработку персональных данных пациента (подает представитель)

Я, нижеподписавшийся____________________________________________________________________,

(ФИО представителя субъекта персональных данных)

документ удостоверяющий личность _________________________серия___________№__________________,

выдан _______________20___г.,_________________________________________________________________,

                         (дата выдачи)                                                                  (кем выдан)

проживающий по адресу  ______________________________________________________________________,

(адрес регистрации)

являюсь представителем ___________________________________________________ (далее – субъектПДн),

                                                                                              ФИО субъекта персональных данных

документ удостоверяющий личность _________________________серия___________№__________________,

выдан _______________20___г.,_________________________________________________________________,

                         (дата выдачи)                                                                  (кем выдан)

проживающий по адресу  ______________________________________________________________________,

 (адрес регистрации)                                                      

 на основании_________________________________________№__________, выданного____________20__г.,

(наименование документа, подтверждающие полномочия представителя)

выданного___________________________________________________________________________________,

                                                                                                       (кем выдан)

подтверждающего мои полномочия представителя субъекта персональных данных, и всоответствии стребованиями статьи9 федерального закона от 27.07.06г. «Оперсональных данных» № 152-ФЗ, подтверждаю свое согласие, данное ОГБУЗ «Корочанская ЦРБ» (далее— Оператор),находящееся по адресу: Белгородская область, Корочанский район, г.Короча, ул.Интернациональная, д.70, на обработку персональных данных (сведений),обо мне и о субъектеПДн,включающих: фамилию, имя, отчество, пол, дату рождения, адрес места жительства, контактные телефон(ы), место работы, данные паспорта (или иного документа удостоверяющего личность), реквизиты полиса ОМС (ДМС), страховой номер индивидуального лицевого счета (СНИЛС)в Пенсионном фонде России, данные о состоянии здоровья, заболеваниях, о случаях обращения за медицинской помощью (подробный перечень персональных данных представлен в п. 2 Положения об обработке и защите персональных данных  в  ОГБУЗ «Корочанская ЦРБ» в целях установления медицинского диагноза и оказания медицинских услуг.

В соответствии с требованиями статьи 10 Федерального закона от 27.07.2006 «О персональных данных» №152-ФЗ даю согласие на обработку персональных данных субъекта ПДнОператором при условии, что их обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну.

Предоставляю Оператору право осуществлять все действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение.

Оператор имеет право:

- при обработке персональных данных субъекта ПДнвносить их в реестры, базы данныхавтоматизированных информационных систем для формирования отчётных форм и иных сведений, предоставление которых регламентировано договорами или иными документами, определяющими взаимодействие Оператора со страховыми медицинскими организациями, медицинскими организациями, органами управления здравоохранения, иными организациями;

-с целью выполнения своих обязательств, предусмотренных нормативными правовыми актами или договорами, на предоставление, передачу моих персональных данных иным организациям, при условии, что указанные предоставление передача будут осуществляться с использованием машинных носителей или по каналам связи с соблюдением мер, обеспечивающих защиту персональных данных субъекта ПДнот несанкционированного доступа, а также при условии, что их прием и обработка будут осуществляться лицом, обязанным сохранять профессиональную тайну.

Даю согласие на то, что срок хранения персональных данных субъекта ПДнсоответствует сроку хранения медицинской карты и составляет двадцать пять лет. По истечении указанного срока хранения моих персональных данных Оператор обязан уничтожить все персональные данныесубъекта ПДн, включая все копии на машинных носителях информации.

Передача персональных данных иным лицам или их разглашение может осуществляться только с моего письменного согласия.

Настоящее согласие действует до момента достижения целей обработки.

Я оставляю за собой право отозвать свое согласиеполностью или частично по моей инициативе на основании личного письменного заявления, в т.ч. и в случае ставших мне известных фактов нарушения моих прав при обработке персональных данных. В случае получения моего письменного заявления об отзыве настоящего согласия на обработку персональных данных Оператор обязанпрекратить их обработку.

Подтверждаю, что ознакомлен(а) с «Положением об обработке и защите персональных данных в ОГБУЗ «Корочанская ЦРБ», и с положениями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», права и обязанности в области защиты персональных данных мне разъяснены.

«___»_______________20__г.                                    _______________________________

(подпись)

Приложение №3

к Положению об обработке персональных данных

  в  ОГБУЗ «Корочанская ЦРБ»

Отзыв согласия на обработку персональных данных

Наименование (Ф.И.О.) оператора

_______________________________________________________________________________

Адрес оператора

_____________________________________________________________________________

Ф.И.О. субъекта персональных данных

_____________________________________________________________________________

Адрес, где зарегистрирован субъект персональных данных

_____________________________________________________________________________

Номер основного документа, удостоверяющего его личность

_____________________________________________________________________________

Дата выдачи указанного документа

_____________________________________________________________________________

Наименование органа, выдавшего документ

Заявление

Прошу Вас прекратить обработку моих персональных данных в связи с

______________________________________________________________________________

(указать причину)

« ___ » ______________ 20___ г.                                      ______________/___________________

 (подпись) (расшифровка подписи)            

Приложение №4

к Положению об обработке персональных данных

  в  ОГБУЗ «Корочанская ЦРБ»

Руководителю учреждения

ОГБУЗ «Корочанская ЦРБ» _________________________

Заявление-согласие субъекта на передачу его персональных данных третьей стороне

Я, ______________________________________________________, паспорт серии______,номер ____, выданный ___________________________ ___________ ___________________________«___» ___________ _____ года, проживающий _____________________________________________________ в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (согласен / не согласен).на передачу ОГБУЗ «Корочанская ЦРБ» моих персональных данных, а именно:

_____________________________________________________________________________

_____________________________________________________________________________

(указать состав персональных данных (Ф.И.О, паспортные данные, адрес …)

для __________________________________________________________________________

_____________________________________________________________________________

(указать перечень действий и способ обработки )

в целях _______________________________________________________________________

(указать цели обработки)

следующим лицам _____________________________________________________________

_____________________________________________________________________________

(указать Ф.И.О. физического лица или наименование организации, адрес, которым передаются данные)

Я утверждаю, что ознакомлен с документами организации, устанавливающими порядок обработки персональных данных, а также с моими правами и обязанностями в этой области.

Согласие вступает в силу со дня его подписания и действует в течение неопределенного срока. Согласие может быть отозвано мною в любое время на основании моего письменного заявления.

« ___ » ______________ 20___ г.                                      ______________/___________________

 (подпись) (расшифровка подписи)            

Приложение №5

к Положению об обработке персональных данных

  в  ОГБУЗ «Корочанская ЦРБ»

Руководителю учреждения

ОГБУЗ «Корочанская ЦРБ» _________________________

Заявление-согласие субъекта на получение его персональных данных у третьей стороны

 Я, ______________________________________________________, паспорт серии______, номер ____, выданный ___________________________ ___________ ___________________________«___» ___________ _____ года, проживающий _____________________________________________________ в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (согласен / не согласен).на получение ОГБУЗ «Корочанская ЦРБ» моих персональных данных, а именно:

_____________________________________________________________________________

_____________________________________________________________________________

(указать состав персональных данных (Ф.И.О, паспортные данные, адрес …)

Для обработки в целях __________________________________________________________

_____________________________________________________________________________

(указать цели обработки)

У следующих лиц ______________________________________________________________

_____________________________________________________________________________

(указать Ф.И.О. физического лица или наименование организации, у которой собираются данные)

Я утверждаю, что ознакомлен с документами организации, устанавливающими порядок обработки персональных данных, а также с моими правами и обязанностями в этой области.

Согласие вступает в силу со дня его подписания и действует в течение неопределенного срока. Согласие может быть отозвано мною в любое время на основании моего письменного заявления.

« ___ » ______________ 20___ г.                                      ______________/___________________

 (подпись) (расшифровка подписи)            

Приложение №6

к Положению об обработке персональных данных

  в  ОГБУЗ «Корочанская ЦРБ»

Обязательство о неразглашении персональных данных субъектов ПДн

Я, нижеподписавшийся_____________________________________________________________,

(Фамилия Имя Отчество)

в качестве сотрудника ОГБУЗ «Корочанская ЦРБ» (далее Организация), находящееся по адресу: Белгородская область, Корочанский район, г.Короча,ул.Интернациональная, д.70 в период трудовых отношений с Организацией (её правопреемником) и после их окончания, обязуюсь не разглашать сведения, составляющие персональные данные субъектов ПДн, обрабатываемые в Организации, которые будут мне доверены или станут мне известны в связи с исполнением моих должностных обязанностей.

До моего сведения доведено с разъяснениями действующее «Положение об обработке и защите персональных данных в ОГБУЗ «Корочанская ЦРБ, и Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»

Мне известно, что нарушение данного Обязательства может повлечь дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством РФ.

«____»_______________20__г.                                ______________________         

                                                                                                                                                   (подпись)