Соглашаясь с данным сообщением, я, в соответствии с требованиями статьи 9 Федерального закона от 27.07.06 "О персональных данных" N 152-ФЗ, подтверждаю свое согласие на обработку в ГБУ РО «КВД» моих персональных данных, включающих: фамилию, имя, отчество, пол, дату рождения, адрес проживания, контактный телефон, реквизиты полиса ОМС, страховой номер Индивидуального лицевого счета в Пенсионном фонде России (СНИЛС), данные о состоянии моего здоровья, заболеваниях, случаях обращения за медицинской помощью, в медико-профилактических целях, в целях установления медицинского диагноза и оказания медицинских услуг при условии, что их обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну. В процессе оказания мне медицинской помощи в ГБУ РО «КВД» я предоставляю право медицинским работникам передавать мои персональные данные, содержащие сведения, составляющие врачебную тайну, другим должностным лицам ГБУ РО «КВД» в интересах моего обследования и лечения.
Предоставляю сотрудникам ГБУ РО «КВД» право осуществлять все действия (операции) с моими персональными данными, включая сбор, систематизацию, накопление, хранение, обновление, изменение, использование, обезличивание, блокирование, уничтожение. ГБУ РО «КВД» вправе обрабатывать мои персональные данные посредством внесения их в электронную базу данных, включения в списки (реестры) и отчетные формы, предусмотренные документами, регламентирующими предоставление отчетных данных (документов) по ОМС при оказании платных медицинских услуг.
ГБУ РО «КВД» имеет право во исполнение своих обязательств по работе в системе ОМС на обмен (прием и передачу) моими персональными данными со страховой медицинской организацией название (и территориальным фондом ОМС) с использованием машинных носителей или по каналам связи, с соблюдением мер, обеспечивающих их защиту от несанкционированного доступа, при условии, что их прием и обработка будут осуществляться лицом, обязанным сохранять профессиональную тайну.
В случае необходимости передачи моих персональных данных третьим лицам для достижения целей, предусмотренных настоящим согласием, Оператор ИС вправе в необходимом объеме передавать информацию обо мне лично (включая мои персональные данные) третьим лицам, с соблюдением условий о конфиденциальности персональных данных.
Срок хранения моих персональных данных соответствует сроку хранения первичных медицинских документов и составляет двадцать пять лет.
ПОЛИТИКА
государственного бюджетного учреждения Ростовской области
«Кожно-венерологический диспансер» в отношении обработки персональных данных
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1 Настоящая политика в отношении обработки персональных данных (далее – Политика) разработана в соответствии со ст. 18.1 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» и определяет ключевые направления деятельности в области обработки и защиты персональных данных, оператором которых является ГБУ РО «КВД» (далее – Оператор).
1.2 Политика разработана в целях обеспечения реализации требований законодательства Российской Федерации в области обработки персональных данных субъектов персональных данных.
1.3 Политика раскрывает правовые основания, цели обработки персональных данных, категории обрабатываемых персональных данных и источники их получения, основные принципы обработки, передачи и хранения персональных данных, меры по обеспечению безопасности персональных данных при их обработке Оператором, а также права субъектов персональных данных.
1.4 Принятие настоящей политики преследует следующие цели:
обеспечение защиты прав и свобод субъектов при обработке их персональных данных Оператором;
предотвращение нарушений законных прав и интересов субъектов;
защита персональных данных субъектов от несанкционированного доступа и разглашения; недопущение нанесения возможного ущерба, вызванного неправомерными умышленными
или неосторожными действиями юридических и (или) физических лиц путем безвозмездного присвоения информации или ее разглашения, нарушением установленных норм, регулирующих обработку и защиту персональных данных.
1.5 Основные понятия, используемые в настоящей Политике:
персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
2. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Политика Оператора в области обработки персональных данных определяется следующими основными нормативными правовыми актами Российской Федерации:
Конституцией Российской Федерации; Трудовым кодексом Российской Федерации; Гражданским кодексом Российской Федерации;
Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»;
Федеральным законом от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Федеральным законом от 21.11.2011 №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
Постановлением Правительства Российской Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Приказом ФСТЭК России от 18.02.2013 №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
Постановлением Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации»;
прочими нормативными правовыми актами.
3. ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1 Обработка персональных данных работников осуществляется с целью исполнения трудовых договоров, заключенных между Оператором и субъектами персональных данных в соответствии с требованиями законодательства Российской Федерации.
3.2 Обработка персональных данных пациентов осуществляется с их предварительного согласия с целью оказания медицинских услуг.
3.3 Обработка и хранение персональных данных осуществляются не дольше, чем этого требуют цели обработки персональных данных, указанные в пп. 3.1. и 3.2. настоящей Политики, если отсутствуют законные основания для их дальнейшей обработки или в соответствии со сроками, указанными в отдельных нормативных правовых актах Российской Федерации.
Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию при наступлении следующий условий:
при достижении цели обработки персональных данных, если иное не предусмотрено договором – в течение 30 дней;
предоставление субъектом персональных данных или его законным представителем подтверждения того, что персональные данные являются незаконно полученными или
не являются необходимыми для заявленной цели обработки – в течение 7 дней; невозможность обеспечения правомерности обработки персональных данных – в течение 10 рабочих дней;
отзыв субъектом персональных данных согласия на обработку персональных данных, если сохранение персональных данных более не требуется для целей обработки персональных данных – в течение 30 дней;
ликвидация Оператора.
3.4 В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных в п. 3.3. настоящей Политики, Оператор осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем
6 месяцев, если иной срок не установлен федеральными законами.
4. КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, ИСТОЧНИКИ ИХ ПОЛУЧЕНИЯ
4.1 В информационных системах персональных данных Оператора обрабатываются следующие категории персональных данных:
персональные данные работников Оператора; персональные данные пациентов;
специальная категория персональный данных (врачебная тайна).
4.2 Для достижения целей обработки персональных данных Оператора обрабатывает следующие персональные данные работников:
фамилия, имя, отчество; пол;
возраст;
дата рождения; место рождения; гражданство; паспортные данные;
адрес регистрации по месту жительства и адрес фактического проживания; номер телефона (домашний, мобильный);
адрес электронной почты;
данные документов о профессиональном образовании, профессиональной переподготовке, повышении квалификации, стажировке, аттестации, аккредитации, подтверждении специальных знаний, присвоении ученой степени, ученого звания, сведения о наградах и званиях (при наличии);
семейное положение, сведения о составе семьи, которые могут понадобиться работодателю для предоставления льгот, предусмотренных трудовым и налоговым законодательством;
данные документов воинского учета (для военнообязанных и лиц, подлежащих призыва на военную службу);
наименование должности;
сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы;
данные страхового свидетельства государственного пенсионного страхования (СНИЛС); данные свидетельства о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации (ИНН);
фотография (для оформления личных карточек, личных дел, пропусков, размещения на сайте Учреждения, в информационных сообщениях в СМИ всех видов, на стендах и информационных досках внутри Учреждения);
информация о приеме, переводе, увольнении и иных событиях, относящихся к трудовой деятельности;
сведения о заработной плате (доходах), банковских счетах, картах;
сведения о деловых и иных личных качествах, носящих оценочный характер;
сведения о социальных льготах, пенсионным обеспечении и страховании;
данные документов об инвалидности (при наличии);
данные страхового медицинского полиса обязательного медицинского страхования; медицинское заключение;
иные персональные данные в соответствии с законодательными и иными нормативными правовыми актами Российской Федерации, необходимые для достижения целей, предусмотренных пп. 3.1. и 3.2. настоящей Политики.
4.3 Персональные данные работников предоставляются самими работниками.
4.4 Для достижения целей обработки персональных данных Оператора обрабатывает следующие персональные данные пациентов, а также сведения, содержащие врачебную тайну:
фамилия, имя, отчество; пол;
дата рождения; место рождения; гражданство;
данные документа, удостоверяющего личность; место жительства;
место регистрации;
адрес электронной почты;
данные страхового свидетельства государственного пенсионного страхования (СНИЛС);
данные полиса обязательного медицинского страхования застрахованного лица (при наличии);
анамнез; диагноз;
вид оказанной медицинской помощи; объем оказанной медицинской помощи;
результат обращения за медицинской помощью;
серия и номер выданного листа нетрудоспособности (при наличии); сведения об оказанных медицинских услугах;
примененные стандарты медицинской помощи;
иные персональные данные в соответствии с законодательными и иными нормативными правовыми актами Российской Федерации, необходимые для достижения целей, предусмотренных пп. 3.1. и 3.2. настоящей Политики.
4.5. Персональные данные пациентов могут быть получены от них лично в заполненной анкете или в ходе личного опроса.
5. ОСНОВНЫЕ ПРИНЦИПЫ ОБРАБОТКИ, ПЕРЕДАЧИ И ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ.
5.1 Обработка персональных данных осуществляется на законной и справедливой основе.
5.2 Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
5.3 Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
5.4 Допускается обработка только тех персональные данные, которые отвечают целям их обработки.
5.5 Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
5.6 При обработке персональных данных, Оператором должна быть обеспечена точность обрабатываемых персональных данных, их достаточность и актуальность
по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры, либо обеспечивать их принятие, по удалению, уточнению неполных или неточных персональных данных.
5.7 Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен нормативными правовыми актами Российской Федерации, договором, стороной которого является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральными законами и другими нормативными правовыми актами Российской Федерации.
5.8 Оператор в установленном порядке вправе поручить обработку персональных данных субъектов персональных данных третьим лицам. При этом существенным условием договора является требование по обеспечению безопасности персональных данных.
5.9 В целях соблюдения законодательства Российской Федерации, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных (работников) Оператор в ходе своей деятельности, на основании письменного запроса, предоставляет персональные данные следующим организациям:
Федеральной налоговой службе; Пенсионному фонду России; Негосударственным пенсионным фондам;
Фонду социального страхования Российской Федерации;
Территориальному Фонду обязательного медицинского страхования; Федеральной миграционной службе;
Федеральной налоговой службе;
Кредитным организациям (для реализации зарплатный проектов и выполнения договорных обязательств);
Лицензирующим и/или контролирующим органам государственной власти и местного самоуправления;
Иным организациям, определенным действующим законодательством Российской Федерации.
5.10 В договоры с лицами, которым Оператор поручает обработку персональных данных, включаются условия, обязывающие таких лиц соблюдать предусмотренные Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» правила обработки персональных данных.
6. МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ
6.1 Оператор при обработке персональных данных принимает все необходимые правовые, организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них.
6.2 Приказом главного врача ГБУ РО «КВД» назначается лицо, ответственное за организацию обработки персональных данных Оператором.
6.3 Ответственное лицо осуществляет внутренний контроль и/или аудит соответствия применяемых Оператором мер по защите персональных данных требованиям нормативных правовых актов Российской Федерации.
6.4 Доступ работников к обрабатываемым персональным данным организован
в соответствии с их должностными обязанностями и регламентирован требованиями локальных документов Организации.
6.5 Работники Оператора, непосредственно осуществляющие обработку персональных данных, знакомятся с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами организации в отношении обработки персональных данных под расписку.
6.6 При обработке персональных данных в информационных системах персональных данных применяются необходимые организационные и технические меры по обеспечению
их безопасности.
6.7 Осуществляется оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных.
6.8 Организован и ведется учет машинных носителей персональных данных.
6.9 Установлены правила доступа к персональным данным, обрабатываемым
в информационной системе персональных данных, а также обеспечены регистрация и учет всех действий, совершаемых с персональными данными в информационной системе персональных данных.
6.10. При обработке персональных данных субъектов персональных данных используются базы данных, находящиеся на территории Российской Федерации.
7. ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1Субъект персональных данных имеет право на получение сведений об обработке своих персональных данных Оператором.
7.2 Субъект персональных данных вправе требовать от Оператора уточнения, при необходимости, своих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
7.3 Субъект персональных данных имеет право на защиту своих прав и законных интересов.
7.4 Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с требованиями федеральных законов Российской Федерации.
7.5 Оператор рассматривает любые обращения и жалобы со стороны субъектов персональных данных, расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке. Все запросы и обращения субъектов персональных данных регистрируются в «Журнале учета обращений субъектов персональных данных».
7.6 Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных.
8. ОБЯЗАННОСТИ ОПЕРАТОРА
8.1 Предоставлять субъекту персональных данных по его запросу информацию, касающуюся обработки его персональных данных, либо на законных основаниях предоставить отказ в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя.
8.2 Разъяснить субъекту персональных данных юридические последствия отказа предоставить персональные данные, если предоставление персональных данных является обязательным в соответствии с федеральным законом.
8.3 Принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
8.4 В соответствии с ч. 2 ст. 18.1 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» опубликовать в сети Интернет на официальном сайте и обеспечить неограниченный доступ с использованием сети Интернет к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.
8.5 Осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к субъекту персональных данных или обеспечить их блокирование, если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора.
8.6 Уточнять персональные данные субъектов персональных данных, либо обеспечить их уточнение, если обработка персональных данных осуществляется другим лицом, действующим по поручению Оператора.
8.7 В случае выявления неправомерной обработки персональных данных, осуществляемой Оператором или лицом, действующим на основании договора с Оператором, прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению Оператора.
8.8 Прекратить обработку персональных данных или обеспечить ее прекращение, если обработка персональных данных осуществляется другим лицом, действующим по договору с Оператором. Уничтожить данные или обеспечить их уничтожение, если обработка данных осуществляется другим лицом, по поручению Оператора, по достижению цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, в случае достижения цели обработки персональных данных.
8.9 Прекратить обработку персональных данных или обеспечить ее прекращение и уничтожить персональные данные или обеспечить их уничтожение в случае отзыва субъектом персональных данных согласия на обработку персональных данных.
8.10 Выполнять иные обязанности, предусмотренные законодательством Российской Федерации.
8.11 Работники Оператора обязаны:
ознакомиться с Политикой и внутренними документами, регламентирующими процесс обработки персональных данных, и выполнять требования этих документов;
обрабатывать персональные данные только в рамках выполнения своих должностных обязанностей;
не разглашать персональные данные, к которым был получен доступ в рамках исполнения своих трудовых обязанностей;
информировать работодателя о фактах разглашения (уничтожения, искажения) персональных данных.
9. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
9.1 Политика является общедоступным документом и подлежит размещению в доступном для субъектов персональных данных месте.
9.2 Политика подлежит изменению/дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года.
9.3 Контроль исполнения требований настоящей Политики осуществляется должностным лицом Организации, ответственным за организацию обработки персональных данных.
9.4 Ответственность за невыполнение требований, регулирующих обработку и защиту персональных данных, должностными лицами Организации, имеющими доступ к персональным данным, определяется в соответствии с законодательством Российской Федерации и внутренними локальными документами.
Приложения:
1. Типовая форма бланка запроса субъекта на получение информации о его персональных данных.
2. Типовая форма бланка отзыва согласия на обработку персональных данных субъекта.
3. Типовая форма бланка запроса на блокирование/ удаление/ уточнение персональных данных.