Положение по обработке персональных данных в ГБУЗ РБ Чекмагушевская ЦРБ
1. Общие положения
1.1. Настоящее Положение по обработке персональных данных (далее — Положение) в ГБУЗ РБ Чекмагушевская ЦРБ (далее Учреждение) разработано в соответствии с Трудовым кодексом Российской Федерации, Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», иными Федеральными законами, Уставом ГБУЗ РБ Чекмагушевская ЦРБ.
1.2. Цель разработки Положения определение порядка обработки персональных данных работников Учреждения (далее — работников) и иных субъектов персональных данных персональные данные которых подлежат обработке, на основании полномочий оператора; обеспечение защиты прав и свобод гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.3. Порядок ввода в действие и изменения Положения.
1.3.1. Настоящее Положение вступает в силу с момента его утверждения руководителем Учреждения и действует бессрочно, до замены его новым Положением.
1.3.2. Все изменения в Положение вносятся приказом.
1.4. Режим конфиденциальности персональных данных работника снимается в случаях их обезличивания и по истечении 75 лет срока хранения, или продлевается на основании заключения экспертной комиссии Учреждения, если иное не определено законом.
2. Основные понятия и состав персональных данных
2.1. В настоящем Положении используются следующие основные понятия:
— персональные данные работника — любая информация, относящаяся к определенному или определяемому на основании такой информации работнику, в том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное положение, социальное положение, образование, профессия, доходы, другая информация, необходимая работодателю в связи с трудовыми отношениями;
— персональные данные гражданина — любая информация, относящаяся к определенному или определяемому на основании такой информации субъекту — гражданину, в отношении которого имеются записи актов гражданского состояния, в том числе его фамилия, имя, отчество, дата и место рождения, и ряд других сведений, подлежащих внесению в записи актов гражданского состояния;
— персональные данные — совокупность персональных данных работников и персональных данных гражданина;
— обработка персональных данных — сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных;
— конфиденциальность персональных данных — обязательное для соблюдения ответственного лица, получившего доступ к персональным данным, требования не допускать их распространения без согласия субъекта или иного законного основания;
— распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
— использование персональных данных- действия (операции) с персональными данными, совершаемые должностным лицом Учреждения в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов либо иным образом затрагивающих их права и свободы или права и свободы других лиц;
-
блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
-
уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
— обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту;
— общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта или
на которые в соответствии с Федеральными законами не распространяется
требование соблюдения конфиденциальности.
— информация — сведения (сообщения, данные) независимо от формы их представления.
— документированная информация — зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
2.2. В состав персональных данных работников Учреждения входят документы, содержащие информацию о паспортных данных, образовании, отношении к воинской обязанности, семейном положении, месте жительства, состоянии здоровья, а также о предыдущих местах их работы.
2.3. Комплекс документов, сопровождающий процесс оформления служебных или трудовых отношений работника в Учреждении при его приеме, переводе и увольнении:
2.3.1. Информация, представляемая при поступлении на работу в Учреждение должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:
-
паспорт или иной документ, удостоверяющий личность;
-
трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства;
-
страховое свидетельство государственного пенсионного страхования;
-
документы воинского учета — для военнообязанных и лиц, подлежащих призыву на военную службу;
-
документ об образовании, о квалификации или наличии специальных знаний — при поступлении на работу, требующую специальных знаний или специальной подготовки;
-
справку о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям, выданную в порядке и по форме, которые устанавливаются федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере внутренних дел, — при поступлении на работу, связанную с деятельностью, к осуществлению которой в соответствии с настоящим Кодексом, иным Федеральным законом не допускаются лица, имеющие или имевшие судимость, подвергающиеся или подвергавшиеся уголовному преследованию.
2.3.2. В отдельных случаях, с учетом специфики работы Трудовым
Кодексом Российской Федерации, иными Федеральными законами, указами
Президента Российской Федерации и постановлениями Правительства
Российской Федерации может предусматриваться необходимость
предъявления при заключении трудового договора дополнительных
документов:
-
свидетельство ИНН (копия);
-
свидетельства о рождении ребенка;
-
справки о беременности женщины;
-
справки об инвалидности;
-
справки о донорстве;
-
справки о составе семьи;
-
справки о доходе с предыдущего места работы;
-
справки о необходимости ухода за больным членом семьи;
-
пенсионное удостоверение;
-
свидетельство о заключении брака;
-
свидетельство о расторжении брака.
2.4. Работником, ответственным за ведение кадровой работы
заполняется унифицированная форма Т-2 «Личная карточка работника», в
которой отражаются следующие анкетные и биографические данные
работника:
-
общие сведения (Ф.И.О. работника, дата рождения, место рождения,
гражданство, образование, профессия, стаж работы, семейное положение,
паспортные данные); -
сведения о воинском учете;
-
данные о приеме на работу;
В дальнейшем в личную карточку вносятся:
-
сведения о переводе на другую работу;
-
сведения об аттестации;
-
сведения о повышении квалификации;
-
сведения о профессиональной переподготовке;
-
сведения о наградах (поощрениях), почетных званиях;
-
сведения об отпусках;
-
сведения о социальных гарантиях;
-
сведения о месте жительства и контактных телефонах.
2.5. В Учреждении создаются и хранятся следующие группы
документов, содержащие данные о работниках в единичном или сводном
виде:
-
Документы, содержащие персональные данные работников
(комплексы документов, сопровождающие процесс оформления трудовых
отношений при приеме на работу, переводе, увольнении; комплекс
материалов по анкетированию, тестированию; проведению собеседований с
кандидатом на должность; подлинники и копии приказов по личному составу; личные дела и трудовые книжки работников; дела, содержащие
основания к приказу по личному составу; дела, содержащие материалы
аттестации работников; служебных расследований; справочно- информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов,
передаваемых руководителю Учреждения, копии отчетов, направляемых в
государственные органы статистики, налоговые инспекции, вышестоящие
органы управления и другие учреждения). -
Должностные инструкции работников, приказы руководителя,
документы по планированию, учету, анализу и отчетности в части работы с
персоналом Учреждения.
2.6. Документы, сопровождающие процесс оказания медицинских услуг:
2.6.1. Информация, предоставляемая в Учреждение, в виде документов или информация, изложенная в заявлениях:
-
сведения в документах, удостоверяющих личность граждан, в том
числе их фамилию, имя, отчество, место и дату рождения.
2.6.2. При оказании медицинских услуг отражаются следующие данные о гражданах:
-
фамилия, имя, отчество, дата и место рождения, пол гражданина,
место проживания; -
свидетельство обязательного пенсионного страхования, ИНН;
-
результаты экспертного обследования, данные экспертного обследования (жалобы, анамнез), данные врачей о состоянии здоровья, медицинский диагноз (основной и сопутствующий), нарушение функции, структуры организма; ограничение жизнедеятельности и их степени, группа инвалидности,.
2.6.3. В Учреждении создаются и хранятся следующие группы документов, содержащие данные о гражданах в единичном или сводном виде:
2.6.3.1. Документы, содержащие персональные данные граждан
(комплексы документов, сопровождающие процесс оказания медицинских услуг).
2.6.3.2. Документы по планированию, учету, анализу и отчетности.
3. Сбор, обработка и защита персональных данных работника
3.1. Порядок получения персональных данных.
3.1.1. Все персональные данные работника Учреждения следует получать у него самого. Если персональные данные работника возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Должностное лицо работодателя должно сообщить работнику Учреждения о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.
3.1.2. Учреждение не имеет права получать и обрабатывать персональные данные работника о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянию здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
Обработка указанных персональных данных возможна только с согласия субъектов. Обработка персональных данных субъектов без их согласия осуществляется в случаях, предусмотренных законодательством.
3.2. Порядок обработки, передачи и хранения персональных данных.
-
Работник Учреждения предоставляет работнику, ответственному
за ведение кадровой работы достоверные сведения о себе. Работник,
ответственный за ведение кадровой работы проверяет достоверность
сведений, сверяя предоставленные данные с имеющимися подлинниками
документов. -
В соответствии со ст. 86, гл. 14 ТК РФ в целях обеспечения прав
и свобод человека и гражданина руководитель Учреждения (работодатель) и
его представители при обработке персональных данных должны соблюдать
следующие общие требования:
3.2.2.1. Обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
3.2.2.2. При определении объема и содержания, обрабатываемых персональных данных должностное лицо Учреждения должно руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными Федеральными законами.
3.2.2.3. При принятии решений, затрагивающих интересы работника, должностное лицо Учреждения не имеет права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.
3.2.2.4. Защита персональных данных от неправомерного их использования или утраты обеспечивается Учреждением за счет его средств в порядке, установленном Федеральным законом. Мероприятия по обеспечению защиты персональных данных излагаются в Положении по обеспечению безопасности персональных данных.
3.2.2.5. Работники должны быть ознакомлены под роспись с документами Учреждения, устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области.
4. Сбор, обработка и защита персональных данных граждан
4.1. Порядок получения персональных данных граждан.
-
Все персональные данные гражданина следует получать у него самого.
-
Учреждение вправе обрабатывать персональные данные граждан без письменного согласия субъектов, так как обработка персональных граждан осуществляется на основании Федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора.
4.2. Порядок обработки, передачи и хранения персональных данных граждан.
4.2.1. Гражданин предоставляет работнику Учреждения сведения, необходимые для получения медицинской услуги в объеме, предусмотренном законодательством Российской Федерации. Работник Учреждения проверяет достоверность сведений, сверяя предоставленные данные с имеющимися у гражданина документами. Работник Учреждения осуществляет занесение персональных данных гражданина в информационную систему.
4.2.2. В целях обеспечения прав и свобод человека и гражданина руководитель и работники Учреждения при обработке персональных данных должны соблюдать следующие общие требования:
4.2.2.1. Обработка персональных данных гражданина может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.
4.2.2.2. При определении объема и содержания обрабатываемых персональных данных граждан руководитель и работники Учреждения должны руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами и нормативными правовыми актами.
4.2.2.3. При принятии решений, затрагивающих интересы гражданина, руководитель и работники Учреждения не имеют права основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.
4.2.2.4. Защита персональных данных от неправомерного их использования или утраты обеспечивается Учреждением за счет его средств в порядке, установленном Федеральным законом. Мероприятия по обеспечению защиты персональных данных излагаются в Положении по обеспечению безопасности персональных данных.
4.2.2.5. Работники Учреждения должны быть ознакомлены под роспись с документами Учреждения, устанавливающими порядок обработки персональных данных граждан, а также об их правах и обязанностях в этой области.
5. Передача и хранение персональных данных
5.1. При передаче персональных данных работники Учреждения должны соблюдать следующие требования:
5.1.1. Не сообщать персональные данные субъекта в коммерческих целях. Обработка персональных данных субъектов в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи не допускается.
5.1.2. Осуществлять передачу персональных данных субъектов в пределах Учреждения в соответствии с настоящим Положением.
5.1.3. Разрешать доступ к персональным данным, только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции.
-
Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
5.2. Хранение и использование персональных данных:
5.2.1. Персональные данные работников обрабатываются и хранятся в
Учреждении. Персональные данные граждан обрабатываются и хранятся в
информационной системе и на бумажных носителях.
5.2.2. Персональные данные работников могут быть получены и
проходят дальнейшую обработку, передаются на хранение, как на бумажных
носителях, так и в электронном виде — локальной компьютерной сети и
компьютерной программе бухгалтерского и кадрового учета. Персональные
данные граждан могут быть получены и проходят дальнейшую обработку,
передаются на хранение, как на бумажных носителях, так и в электронном
виде — локальной компьютерной сети и компьютерной программы.
6. Доступ к персональным данным
6.1. Право доступа к персональным данным работников имеют: руководитель Учреждения, работники, допущенные к ним.
6.2. Субъект персональных данных имеет право:
6.2.1. Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копий любой записи, содержащей персональные данные субъекта.
6.2.2. Требовать уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми персональных данных.
-
Получать:
— сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
-
перечень обрабатываемых персональных данных и источник их получения;
-
сроки обработки персональных данных, в том числе сроки их хранения;
6.2.5. Требовать извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке и защите его персональных данных.
-
Копировать и делать выписки персональных данных работника разрешается исключительно в служебных целях с письменного разрешения руководителя Учреждения.
-
Передача информации третьей стороне возможна только при письменном согласии субъектов персональных данных или без такового, если такая передача предусмотрена действующими законами.
7. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных
7.1. Работники Учреждения, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
7.2. Руководитель Учреждения за нарушение норм, регулирующих получение, обработку и защиту персональных данных, несет административную ответственность согласно ст. 5.27 и 5.39 Кодекса об административных правонарушениях Российской Федерации, а также возмещает субъекту ущерб, причиненный неправомерным использованием информации, содержащей персональные данные субъекта