Версия для слабовидящих

Политика в отношении обработки и защиты персональных пациентов и работников ГБУЗ МО «Загорянская поликлиника»

УТВЕРЖДЕНО

Приказом

по ГБУЗ МО «Загорянская поликлиника»

от «10» января  2018 г. № 10-б

 

ПОЛИТИКА

в отношении обработки и защиты персональных данных

пациентов и работников государственного бюджетного учреждения здравоохранения

Московской области «Загорянская поликлиника»

Общая часть

 

  1. Настоящая Политика определяет принципы, порядок и условия обработки персональных данных пациентов и работников Учреждения-оператора, чьи персональные данные обрабатываются, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность должностных лиц Оператора, имеющих доступ к персональным данным, за невыполнение норм, регулирующих обработку и защиту персональных данных.
  2. Персональные данные являются конфиденциальной, строго охраняемой информацией, и на них распространяются все требования, установленные внутренними документами Оператора, к защите конфиденциальной информации.
  3. Основанием для разработки данного локального нормативного акта являются:

— Конституция РФ от 12 декабря 1993 г. (ст. ст. 2, 17-24, 41);

— глава 14 (ст. 86-90) Трудового кодекса РФ;

— часть 1 и 2, часть 4 Гражданского кодекса РФ;

— Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «Оперсональных данных»;

— Федеральный закон Российской Федерации от 21 ноября 2011 г. № 323-ФЗ«Обосновах охраны здоровья граждан в Российской Федерации»;

— Федеральный закон Российской Федерации от 29 ноября 2010 г. № 326-ФЗ«Об обязательном медицинском страховании в Российской Федерации»;

— Федеральный закон от 02 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;

— Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

— Указ Президента РФ от 06 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;

— Постановление Правительства Российской Федерации от 21 марта 2012 г. № 211 «Обутверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;

— Постановление Правительства Российской Федерации от 15 сентября 2008 г.№ 687 «Обутверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

— Постановление Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

— Регламентирующие документы ФСТЭК России и ФСБ России об обеспечении безопасности персональных данных:

— Приказ ФСТЭК № 21 от 18 февраля 2013 г. «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

 

Основные понятия, используемые в настоящей Политике

Для целей настоящей Политики используются следующие основные понятия:

  • автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
  • блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
  • врачебная тайна – соблюдение конфиденциальности информации о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иных сведений, полученных при его обследовании и лечении;
  • документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель;
  • документы, содержащие персональные сведения пациента – формы медицинской и иной учетно-отчетной документации, включающие сведения о персональных данных;
  • информация – сведения (сообщения, данные) независимо от формы их представления;
  • информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
  • конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения и не раскрывать третьим лицам персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
  • обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
  • обработка персональных данных – любое действия (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
  • обработка персональных данных, содержащихся в   информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации(неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека;
  • общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
  • оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
  • пациент – физическое лицо (субъект), обратившееся в Учреждение с целью получения медицинского обслуживания, либо состоящее в иных гражданско-правовых отношениях с Учреждением по вопросам получения медицинских услуг.
  • персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
  • персональные данные пациента – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, серия и номер паспорта, адрес регистрации и фактического проживания, идентификационный номер налогоплательщика (ИНН), страховое свидетельство государственного пенсионного страхования (СНИЛС), семейное, социальное положение, образование, профессия, должность, специальность, серия и номер страхового медицинского полиса и его действительность, номер амбулаторной карты, номер истории болезни, сведения о состоянии здоровья, в том числе группа здоровья, группа инвалидности и степень ограничения к трудовой деятельности, состояние диспансерного учета, зарегистрированные диагнозы по результатам обращения пациентов к врачу, в том числе при прохождении диспансеризации и медицинских осмотров, информация об оказанных медицинских услугах, в том числе о проведенных лабораторных анализах и исследованиях и их результатах, выполненных оперативных вмешательствах, случаях стационарного лечения и их результатах, о выданных листах временной нетрудоспособности с указанием номера листа нетрудоспособности и периода нетрудоспособности, регистрация прикрепления на территории обслуживания пациента – дата и признак прикрепления, информация о выписанных и отпущенных лекарственных средствах и изделиях медицинского назначения, информация о наличии льгот (по категориям), о документах, подтверждающих право на льготу и право на льготное лекарственное обеспечение, дата и причина смерти гражданина в случае его смерти;
  • предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  • распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
  • уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

Общие принципы и условия обработки персональных данных

пациентов и работников ГБУЗ МО «Загорянская поликлиника»

 

  1. Обработка персональных данных пациентов и работников осуществляется на основе принципов:

1) Обработка персональных данных должна осуществляться на законной и справедливой основе, должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

2) Допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

3) Обработке подлежат только персональные данные, которые отвечают целям их обработки.

4) Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

5) При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Учреждение-оператор должно принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.

6) Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом № 152-ФЗ. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законодательством.

  1. В целях обеспечения прав и свобод человека и гражданина, Учреждение-оператор при обработке персональных данных пациента или работника обязаны соблюдать следующие общие требования:

1) Обработка персональных данных пациента может осуществляться исключительно в медицинских целях, в целях установления диагноза, оказания медицинских услуг, оформления договорных отношений с пациентом, при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну в соответствии с законодательством Российской Федерации в области персональных данных.

2) Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законодательства Российской Федерации в области персональных данных и иных нормативных правовых актов с учетом положений Федерального закона № 152-ФЗ «О персональных данных», оформления трудовых отношений, расчета и выдачи заработной платы или других доходов, налоговых и пенсионных отчислений, содействия работникам в трудоустройстве, обучении, повышении квалификации и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы, обеспечения сохранности имущества работодателя в соответствии с законодательством Российской Федерации в области персональных данных.

3) Все персональные данные пациента следует получать у него самого или у его законного представителя.

Все персональные данные работника работодатель должен получать у него самого.

Если персональные данные пациента или работника, возможно, получить только у третьей стороны, то пациент или работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

4) Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении пациента и работника или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ.

5) Учреждение-оператор обязано рассмотреть возражение в течение тридцати дней со дня его получения и уведомить пациента и работника о результатах рассмотрения такого возражения.

6) Защита персональных данных пациентов и работников от неправомерного их использования или утраты должна быть обеспечена Учреждением — оператором в порядке, установленном Федеральным законодательством и другими нормативными документами.

7) Работники должны быть ознакомлены под личную подпись с документами Учреждения — оператора, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.

 

Получение персональных данных пациента и работника

  1. Получение персональных данных преимущественно осуществляется путем представления их самим пациентом (законным представителем пациента) или работником, на основании его письменного согласия, за исключением случаев, прямо предусмотренных действующим законодательством РФ.

В случаях, предусмотренных Федеральным законодательством, обработка персональных данных осуществляется только с согласия пациента (его законного представителя) и работника в письменной форме. Равнозначным содержащему собственноручную подпись пациента и работника согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с Федеральным законом № 152-ФЗ электронной подписью.

  1. Под персональными данными работников, связанных с реализацией трудовых отношений, понимается:
  • фамилия, имя, отчество; адрес проживания и прописки;
  • телефон;
  • семейное положение;
  • иные паспортные данные;
  • ИНН;
  • персональные данные, содержащиеся в письменном заявлении о принятии на работу;
  • копии паспорта и свидетельства о государственной регистрации актов гражданского состояния;
  • копии трудовой книжки;
  • копии документов о профессиональном образовании, профессиональной
  • переподготовке, повышении квалификации, стажировке, присвоении ученой степени, ученого звания (если таковые имеются);
  • копии решений о награждении государственными наградами Российской Федерации, Почетной грамотой Президента Российской Федерации, об объявлении благодарности Президента Российской Федерации, присвоении почетных, воинских и специальных званий, присуждении государственных премий (если таковые имеются); копии документов воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу);
  • копии страхового свидетельства обязательного пенсионного страхования;
  • копии свидетельства о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации;
  • копии страхового медицинского полиса обязательного медицинского страхования граждан;
  • медицинское заключение установленной формы об отсутствии у гражданина заболевания, препятствующего поступлению на гражданскую службу или ее прохождению;
  1. Под персональными данными пациентов понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу, в том числе:
  • фамилия, имя, отчество,
  • пол,
  • год, месяц, дата и место рождения,
  • адрес места жительства и регистрации,
  • контактные телефоны,
  • реквизиты полиса ОМС (ДМС),
  • паспортные данные,
  • данные о состоянии здоровья, заболеваниях,
  • случаи обращения за медицинской помощью,
  • данные о составе семьи,
  • прочие сведения, которые могут идентифицировать человека.

Персональные данные пациентов относятся к специальной категории персональных данных. Обработка таких персональных данных должна осуществляться лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну. Персональные данные пациентов являются конфиденциальными сведениями

Согласно законодательству, обработка специальных категорий персональных данных пациентов должна осуществляться с письменного согласия субъекта персональных данных или его законного представителя (ст. 6, 9, 10 Закона № 152-ФЗ, ч. 3 ст. 13 Закона № 323-ФЗ).

Предоставление сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя допускается (ч. 4 ст. 13 ФЗ № 323-ФЗ):

— если пациент в результате своего состояния не способен выразить свою волю, но ему необходимо лечение;

— при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;

-по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органов прокуратуры в связи с осуществлением ими прокурорского надзора, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля за поведением условно

осужденного, осужденного, в отношении которого отбывание наказания отсрочено, и лица, освобожденного условно-досрочно;

— в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий.

Персональные данные пациента могут быть предоставлены его законному представителю, а также родственникам или членам его семьи, иным представителям только с письменного разрешения самого пациента либо его законного представителя.

Оператор и иные лица, получившие доступ к персональным данным пациентов, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Хранение персональных данных пациентов осуществляется форме, позволяющей их идентифицировать и должно происходить в порядке, исключающим их утрату или их неправомерное использование.

Срок хранения персональных данных пациентов определяется целью обработки персональных данных. По истечению срока хранения или утраты цели обработки персональные данные подлежат уничтожению, обезличиванию или передаче в архив.

Меры по обеспечению защиты персональных данных

Субъекты персональных данных — работники медицинской организации и пациенты (их законные представители), передавая сведения о себе, вправе рассчитывать на соблюдение конфиденциальности при использовании данной информации в медицинской организации. Это подразумевает не только применение технических средств защиты (специальные сертифицированные программные и технические средства защиты информации), но и проведение комплекса организационных мероприятий, направленных на предотвращение потери, искажения и несанкционированного доступа к персональным данным, а именно:

  1. назначены лица, ответственные за организацию обработки и обеспечение безопасности персональных данных;
  2. разработано и внедрено Положение о защите персональных данных работников и пациентов;
  3. лица, ведущие обработку персональных данных работников/пациентов, проинструктированы и ознакомлены с нормативными правовыми актами, регламентирующими порядок работы и защиты персональных данных;
  4. в целях осуществления внутреннего контроля соответствия обработки персональных данных, установленным требованиям, проводятся периодические проверки условий обработки персональных данных;
  5. иные необходимые меры безопасности.

Гарантии конфиденциальности

  1. Информация, относящаяся к персональным данным, ставшая известной в связи с реализацией трудовых отношений, является конфиденциальной информацией и охраняется законом.
  2. Работники и иные лица, получившие доступ к обрабатываемым персональным данным, предупреждены о возможной дисциплинарной, административной, гражданско-правовой или уголовной ответственности в случае нарушения норм и требований действующего законодательства, регулирующего правила обработки и защиты персональных данных.

 Заключительные положения

  1. Настоящая Политика вступает в силу с даты утверждения Приказом главного врача и является общедоступной и подлежит размещению на официальном сайте поликлиники
  2. В обязанности отдела кадров учреждения, входит ознакомление с настоящей Политикой всех работников, принимаемых на работу до подписания трудового договора, под личную подпись.
  3. В обязанности работников, осуществляющих первичный сбор персональных данных пациента, входит получение согласия пациента (его законного представителя) на обработку его персональных данных, под личную подпись.
  4. Политику в отношении обработки и защиты персональных данных опубликовать на сайте учреждения для ознакомления всем заинтересованным субъектам персональных данных.
  5. В случае внесения в настоящую Политику существенных изменений, к ним будет обеспечен неограниченный доступ всем заинтересованным субъектам персональных данных.

ПОЛОЖЕНИЕ

об обработке персональных данных

в ГБУЗ МО «Загорянская поликлиника»

 

1.Настоящее Положение об обработке персональных данных устанавливает процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований (далее — Положение).

Обработка персональных данных в ГБУЗ МО «Загорянская поликлиника» выполняется с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных субъектов, персональные данные которых обрабатываются в ГБУЗ МО «Загорянская поликлиника».

  1. ГБУЗ МО «Загорянская поликлиника» в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» является оператором, осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (далее — оператор персональных данных).
  2. Положение разработано в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Федеральный закон), гл. 14 Трудового Кодекса Российской Федерации от 13.12.2001г. №97-ФЗ.
  3. Субъектами персональных данных являются сотрудники ГБУЗ МО «Загорянская поликлиника», граждане Российской Федерации, информация о которых содержится в информационных системах ГБУЗ МО «Загорянская поликлиника».
  4. Целями Положения являются:

а) обеспечение защиты прав и свобод при обработке персональных данных сотрудников ГБУЗ МО «Загорянская поликлиника», персональных данных граждан, содержащихся в информационных системах ГБУЗ МО «Загорянская поликлиника»;

б) установление ответственности сотрудников ГБУЗ МО «Загорянская поликлиника» за невыполнение нормативных правовых актов, регулирующих обработку и защиту персональных данных.

6.Процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных:

а) осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных;

б) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Федерального закона, соотношение указанного вреда и принимаемых ГБУЗ МО «Загорянская поликлиника» мер, направленных на обеспечение выполнения обязанностей оператора персональных данных, предусмотренных Федеральным законом;

в) ознакомление сотрудников ГБУЗ МО «Загорянская поликлиника», непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, с требованиями по защите персональных данных.

7.В случае выявления неправомерной обработки персональных данных, осуществляемой оператором персональных данных, оператор персональных данных в срок, не превышающий 3 рабочих дня с даты выявления неправомерной обработки персональных данных, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных.

В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор персональных данных в срок, не превышающий 10 рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении неправомерной обработки персональных данных или об уничтожении персональных данных оператор персональных данных обязан уведомить субъекта персональных данных или его законного представителя.

  1. В случае достижения цели обработки персональных данных оператор персональных данных обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий 30 рабочих дней с даты достижения цели обработки персональных данных.
  2. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор персональных данных обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий три рабочих дня с даты получения указанного отзыва. Об уничтожении персональных данных оператор персональных данных в течение трех рабочих дней обязан уведомить субъекта персональных данных.
  3. В случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных в пунктах 7-9 Правил, оператор персональных данных осуществляет блокирование таких персональных данных, обеспечивает уничтожение персональных данных в срок до 6 месяцев, если иной срок не установлен действующим законодательством Российской Федерации.
  4. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели хранения персональных данных, если срок хранения персональных данных не установлен Федеральным законом.

Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законом.

  1. Обработка персональных данных в информационных системах ГБУЗ МО «Загорянская поликлиника» (далее — информационные системы персональных данных) осуществляется в соответствии с постановлением Правительства Российской Федерации от 01.11.2012г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
  2. Обеспечение безопасности персональных данных в информационных системах персональных данных достигается путем:

а) определения угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

б) применения организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных;

в) применения прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

г) оценки эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационных систем персональных данных;

д) учета машинных носителей персональных данных;

е) обнаружения фактов несанкционированного доступа к персональным данным и принятием мер по прекращению несанкционированного доступа;

ж) восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

з) установления правил доступа (пароль, логин и др.) к персональным данным, обрабатываемым в информационных системах персональных данных, а также обеспечения регистрации и учета всех действий, совершаемых с персональными данными в информационных системах персональных данных.

  1. Сотрудники ГБУЗ МО «Загорянская поликлиника», имеющие доступ к информационным системам персональных данных, обязаны:

а) принимать меры, исключающие несанкционированный доступ к используемым программно-техническим средствам;

б) вести учет электронных носителей информации, содержащих персональные данные, и осуществлять их хранение в металлических шкафах или сейфах;

в) производить запись персональных данных (отдельных файлов, баз данных) на электронные носители только в случаях, регламентированных порядком работы с персональными данными;

г) соблюдать установленный порядок и правила доступа в информационные системы, не допускать передачу персональных кодов и паролей к информационным системам персональных данных;

д) принимать все необходимые меры к надежной сохранности кодов и паролей доступа к информационным системам персональных данных;

е) работать с информационными системами персональных данных в объеме своих полномочий, не допускать их превышения;

ж) обладать навыками работы с антивирусными программами в объеме, необходимом для выполнения функциональных обязанностей и требований по защите информации.

  1. При работе сотрудников ГБУЗ МО «Загорянская поликлиника» в информационных системах персональных данныхзапрещается:

а) записывать значения кодов и паролей доступа к информационным системам персональных данных;

б) передавать коды и пароли доступа к информационным системам персональных данных другим лицам;

в) пользоваться в работе кодами и паролями других пользователей доступа к информационным системам персональных данных;

г) производить подбор кодов и паролей доступа к информационным системам персональных данных других пользователей;

д) записывать на электронные носители с персональными данными посторонние программы и данные;

е) копировать информацию с персональными данными на неучтенные электронные носители информации;

ж) выносить электронные носители с персональными данными за пределы территории ГБУЗ МО «Загорянская поликлиника»;

з) покидать рабочее место с включенным персональным компьютером без применения аппаратных или программных средств блокирования, доступа к персональному компьютеру;

и) приносить, самостоятельно устанавливать и эксплуатировать на персональном компьютере любые программные продукты, не принятые к эксплуатации;

к) открывать, разбирать, ремонтировать персональные компьютеры, вносить изменения в конструкцию, подключать нештатные блоки и устройства;

л) передавать информацию, содержащую персональные данные, подлежащие защите, по открытым каналам связи (факсимильная связь, электронная почта и иное), а также использовать сведения, содержащие персональные данные, подлежащие защите, в открытой переписке и при ведении переговоров по телефону,

  1. Сбор, систематизацию, накопление, хранение, обновление, изменение, передачу, уничтожение (далее – обработка) документов работников ГБУЗ МО «Загорянская поликлиника», содержащих персональные данные на бумажном носителе, осуществляют сотрудники отдела кадров ГБУЗ МО «Загорянская поликлиника» в соответствии с гл.14 Трудового Кодекса Российской Федерации.

17.Все персональные данные должны быть получены непосредственно от сотрудников ГБУЗ МО «Загорянская поликлиника».

18.Документы, содержащие персональные данные, уничтожаются путем измельчения в бумагорезательной машине.

19.При смене сотрудника, ответственного за учет документов на бумажном носителе, содержащих персональные данные, составляется акт приема-сдачи этих материалов, который утверждается руководителем соответствующего структурного подразделения ГБУЗ МО «Загорянская поликлиника».

20.При работе с документами на бумажном носителе, содержащими персональные данные, уполномоченные на обработку персональных данных сотрудники ГБУЗ МО «Загорянская поликлиника» обязаны:

а) ознакомиться только с теми документами, содержащими персональные данные, к которым получен доступ в соответствии со служебной необходимостью;

б) хранить в тайне ставшие известными им сведения, содержащие персональные данные, подлежащие защите, информировать непосредственного руководителя о фактах нарушения порядка работы с персональными данными и о попытках несанкционированного доступа к ним;

в) о допущенных нарушениях установленного порядка работы, учета и хранения документов, содержащих персональные данные, а также о фактах разглашения сведений, содержащих персональные данные, подлежащих защите, представлять непосредственным руководителям письменные объяснения.

  1. Сотрудники, виновные в разглашении или утрате информации, содержащей персональные данные, несут ответственность в соответствии с законодательством Российской Федерации.
  2. Контроль за исполнением сотрудниками ГБУЗ МО «Загорянская поликлиника» требований настоящих Правил возлагается на руководителей структурных подразделений ГБУЗ МО «Загорянская поликлиника» и назначенного приказом главного врача ГБУЗ МО «Загорянская поликлиника» ответственного лица за организацию обработки персональных данных.

 

 

Добавить комментарий

Ваш e-mail не будет опубликован.

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.