1. Назначение
1.1 Настоящий документ определяет политику ГУЗ «Консультативно-диагностическая поликлиника № 2» (далее – Оператор) в отношении обработки персональных данных (далее – ПДн).
1.2. Настоящая политика в области обработки и защиты ПДн (далее – Политика) разработана в соответствии с п. 2 ст. 18.1 Федерального закона «О персональных данных» №152-ФЗ от 27 июля 2006 года и действует в отношении всех персональных данных, обрабатываемых Оператором.
1.3. Целью настоящей Политики является защита интересов Оператора, его работников, субъектов ПДн, обрабатываемых Оператором, а также исполнение законодательства Российской Федерации о персональных данных.
1.4. Политика распространяется на ПДн полученные как до, так и после утверждения настоящей Политики.
2. Общие положения
2.1. В целях поддержания деловой репутации и гарантирования выполнения норм федерального законодательства в полном объеме Оператор считает важнейшими своими задачами соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.
2.2. Политика характеризуется следующими признаками:
2.2.1. Разработана в целях обеспечения реализации требований законодательства РФ в области обработки ПДн субъектов персональных данных.
2.2.2. Раскрывает основные категории персональных данных, обрабатываемых Оператором, цели, способы и принципы обработки Оператором ПДн, права и обязанности оператора при обработке ПДн, права субъектов ПДн, а также включает перечень мер, применяемых Оператором в целях обеспечения безопасности ПДн при их обработке.
2.2.3. Является общедоступным документом, декларирующим концептуальные основы деятельности Оператора при обработке ПДн.
2.3. Действие настоящего документа распространяется на все процессы, в рамках которых осуществляется обработка персональных данных субъектов ПДн всех категорий.
3. Информация об операторе
Полное наименование организации: Государственное учреждение здравоохранения «Консультативно-диагностическая поликлиника № 2»
ИНН 3443012882
Фактический адрес: 400081, г. Волгоград, ул. Ангарская, 114 «А», а/я 3080
Тел: 8(8442) 36-11-97
Сайт: https://kdp-2.ru/
Е-mail: kdp2@volganet.ru
Номер в реестре операторов, осуществляющих обработку персональных данных: 09-0074018
4. Правовые основания обработки персональных данных
4.1. Политика Оператора в области обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами:
4.1.1. «Конституция Российской Федерации»;
4.1.2. Федеральный закон от 30.11.1994 №51-ФЗ «Гражданский кодекс Российской Федерации»;
4.1.3. Федеральный закон от 30.12.2001 197-ФЗ «Трудовой кодекс Российской Федерации»;
4.1.4. Федеральный закон от 31.07.1998 №146-ФЗ «Налоговый кодекс Российской федерации»;
4.1.5. Федеральный закон Российской Федерации от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
4.1.6. Федеральный закон от 29.11.2010 № 326-ФЗ "Об обязательном медицинском страховании в Российской Федерации";
4.1.7. Федеральный закон от 01.04.1996 №27-ФЗ «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»
4.1.8. Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
4.1.9. Федеральный закон Российской Федерации от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
4.1.10. Федеральный закон Российской Федерации от 02 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
4.1.11. Федеральный закон от 30.12.2001 г №195-ФЗ «Кодекс Российской Федерации об административных правонарушениях»;
4.1.12. Федеральный закон от 04.05.2011 №99-ФЗ «О лицензировании отдельных видов деятельности»;
4.1.13. Федеральный закон от 25.12.2008 №273-ФЗ «О противодействии коррупции»;
4.1.14. Федеральный закон от 27.07.2009 №210-ФЗ «Об организации предоставления государственных и муниципальных услуг»;
4.1.15. Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
4.1.16. Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
4.1.17. Приказ ФСТЭК России от 18.02.2013 N 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
5. Цели обработки персональных данных.
5.1. Оператор обрабатывает персональные данные исключительно в следующих целях:
5.1.1. Принятие решения о трудоустройстве соискателя.
5.1.2. Заключения и выполнения обязательств по трудовым договорам, договорам гражданско-правового характера и договорам с контрагентами.
5.1.3. Предоставления субъектам персональных данных квалифицированной медицинской помощи, учета результатов договорных обязательств, а также наиболее полного исполнения учреждением обязательств и компетенций в соответствии с Федеральным законам "Об обязательном медицинском страховании граждан в Российской Федерации" от 29 ноября 2010 года № 326-ФЗ и Федеральным законом "Об основах охраны здоровья граждан в Российской Федерации" от 21.11.2011 № 323-ФЗ.
5.1.4. Сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, передача ПДн по защищенным каналам связи. Обработка персональных данных: смешанная.
5.2. Обработка персональных данных пациентов Оператора осуществляется для решения следующих задач:
5.2.1. Осуществление расчетов с ФОМС и страховыми организациями за оказание медицинских услуг застрахованным.
5.2.2. Формирования отчетов по поликлинике.
5.2.3. Назначение и начисление счетов на оказание услуг и иных выплат.
5.2.4. Бухгалтерский учет и контроль финансово-хозяйственной деятельности Оператора и исполнения финансовых обязательств по заключенным договорам.
5.2.5. Обработка амбулаторных карт (в т.ч. в электронной форме).
5.2.6. Поддержание контактов с законными представителями субъекта персональных данных.
5.2.7. Проведение лечебно-профилактических мероприятий.
5.2.8. Иные задачи, необходимые для повышения качества и эффективности деятельности Оператора.
6. Категории обрабатываемых персональных данных
6.1. В зависимости от субъекта персональных данных, Оператор обрабатывает персональные данные следующих субъектов ПДн:
6.1.1. Персональные данные сотрудников.
6.1.2. Персональные данные кандидатов на замещение вакантных должностей Оператора.
6.1.3. Персональные данные лиц, с которыми заключены договоры.
6.1.4. Персональные данные физического лица, обратившегося к Оператору с жалобами, заявлениями и обращениями.
6.1.5. Персональные данные пациентов - лиц, которым оказываются или уже оказаны медицинские услуги специалистами Оператора и их законных представителей.
6.2. При обращении к Оператору пациент предоставляет следующую информацию:
- ФИО;
- Пол;
- Дату рождения;
- Адрес проживания;
- Паспортные данные;
- Контактный телефон;
- Реквизиты полиса ОМС;
- Страховой номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС);
- Данные о состоянии здоровья пациента, заболеваниях, случаях обращения за медицинской помощью.
Данная информация собирается исключительно с письменного согласия на обработку персональных данных субъекта персональных данных или его законного представителя. При отказе субъекта персональных данных дать согласие ему объясняются последствия такого отказа.
В соответствии с ст. 7 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» Учреждение не раскрывает персональные данные третьим лицам и не распространяет их без согласия субъекта персональных данных.
Субъект персональных данных имеет право на доступ к своим персональным данным по письменному запросу на имя Главного врача. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя.
7. Принципы обработки персональных данных
7.1. Оператор в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в ст. 5 Федерального закона 152-ФЗ «О персональных данных».
7.2. Оператор не осуществляет обработку биометрических персональных данных (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность).
7.3. Оператор не производит трансграничную (на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу) передачу персональных данных.
8. Сведения о третьих лицах, участвующих в обработке персональных данных
8.1. В целях соблюдения законодательства РФ, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных Оператор в ходе своей деятельности предоставляет персональные данные следующим организациям:
8.1.1. Территориальному фонду ОМС.
8.1.2. Страховым медицинским организациям.
8.1.3. Иным организациям, с письменного согласия субъекта персональных данных.
9. Меры по обеспечению безопасности персональных данных при их обработке
9.1. Оператор при обработке персональных данных принимает все необходимые организационные и технические меры для их защиты от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении них. Обеспечение безопасности персональных данных достигается, в частности, следующими способами:
9.1.1. Назначением ответственных за организацию обработки персональных данных.
9.1.2. Осуществлением внутреннего контроля и/или аудита соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, локальным актам.
9.1.3. Ознакомлением работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, локальными актами в отношении обработки персональных данных, и (или) обучением указанных сотрудников.
9.1.4. Определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных.
9.1.5. Применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных.
9.1.6. Учетом машинных носителей персональных данных.
9.1.7. Выявлением фактов несанкционированного доступа к персональным данным и принятием соответствующих мер.
9.1.8. Восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним.
9.1.9. Установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.
9.1.10. Контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровнем защищенности информационных систем персональных данных.
9.1.11. Применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.
9.2. Обязанности должностных лиц, осуществляющих обработку и защиту ПДн, а также их ответственность, определяются в «Положении об обработке персональных данных в ГУЗ «Консультативно-диагностическая поликлиника № 2».
10. Права субъектов персональных данных
10.1. Субъект персональных данных имеет право на получение сведений об обработке его персональных данных Оператором.
10.2. Субъект персональных данных вправе требовать от Оператора, который их обрабатывает, уточнения этих персональных данных, их блокирования или уничтожения в случае, если они являются неполными, устаревшими, неточными, незаконно полученными или не могут быть признаны необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
10.3. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.
10.4. Для реализации своих прав и защиты законных интересов субъект персональных данных имеет право обратиться к Оператору. Тот рассматривает любые обращения и жалобы со стороны субъектов персональных данных, тщательно расследует факты нарушений и принимает все необходимые меры для их немедленного устранения, наказания виновных лиц и урегулирования спорных и конфликтных ситуаций в досудебном порядке.
10.5. Субъект персональных данных вправе обжаловать действия или бездействие Оператора путем обращения в уполномоченный орган по защите прав субъектов персональных данных (см.п.11.1).
10.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и/или компенсацию морального вреда в судебном порядке.
11. Контроль и надзор за обработкой персональных данных
11.1. Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных», является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).
11.2. Уполномоченный орган по защите прав субъектов персональных данных рассматривает обращения субъекта персональных данных о соответствии содержания персональных данных и способов их обработки целям их обработки и принимает соответствующее решение.
11.3. Управление Роскомнадзора по Волгоградской области и Республике Калмыкия:
Адрес: 400066, Волгоградская обл., г. Волгоград, ул. Мира, 9.
Телефон: 8 (844) 296-88-77
12. Заключительные положения
12.1. Настоящая Политика предназначена для размещения в информационных ресурсах общественного пользования ГУЗ «Консультативно-диагностическая поликлиника № 2».
12.2. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки персональных данных ГУЗ «Консультативно-диагностическая поликлиника № 2».
12.3. Настоящая политика обязательна для соблюдения и ознакомления всех сотрудников Оператора.
12.4. Ответственность должностных лиц ГУЗ «Консультативно-диагностическая поликлиника № 2», имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации и внутренними документами ГУЗ «Консультативно-диагностическая поликлиника № 2».