УТВЕРЖДЕНА

приказом ГБУ РО «КДЦ «Здоровье»

в г. Ростове-на-Дону

от 09.01.2023 года № 55

Политика обработки персональных данных ГБУ РО КДЦ «Здоровье» в г. Ростове-на-Дону

1. Общие положения
   1. Политика обработки персональных данных в ГБУ РО КДЦ «Здоровье» в г. Ростове-на-Дону (далее – Политика) разработана во исполнение требований Федерального закона РФ 2006 г. № 152-ФЗ «О персональных данных».
   2. Основные понятия, используемые в Политике:

• персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных);
• персональные данные, разрешенные субъектом персональных данных для распространения — персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом;
• оператор персональных данных (далее – оператор) — ГБУ РО «КДЦ «Здоровье» в г.Ростове-на-Дону (юридическое лицо, осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными);
• обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
• автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;
• распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
• предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
• блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
• уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
• обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
• информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
• трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
  3. Политика определяет:

• Категории и перечень персональных данных, обрабатываемых в ГБУ РО «КДЦ «Здоровье» в г. Ростове-на-Дону (далее – Учреждение);
• правовые основания обработки персональных данных;
• цели обработки персональных данных;
• принципы обработки персональных данных;
• порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований;
• меры по обеспечению защиты персональных данных в Учреждении.
  4. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих в Учреждении вопросы обработки персональных данных работников учреждения и других субъектов персональных данных.
  5. Изменения в Политику вносятся на основании приказов руководителя Учреждения.
  6. Политика является общедоступной и подлежит публикации в информационно-телекоммуникационной сети «Интернет» на официальном сайте Учреждения.
  7. Политика распространяется на отношения в области обработки персональных данных, возникшие у учреждения как до, так и после утверждения Политики.

2. Категории персональных данных, обрабатываемых в Учреждении
   1. В Учреждении обрабатываются персональные данные:

• сотрудников Учреждения (в т.ч. уволенных);
• граждан, которым оказывается медицинская помощь в Учреждении;
• зарегистрированных пользователей сайта Оператора, пациентов, потенциальных пациентов (их законных представителей);
• граждан, застрахованных по обязательному медицинскому страхованию;
• экспертов качества медицинской помощи, включенных в территориальный реестр экспертов качества медицинской помощи в сфере обязательного медицинского страхования Ростовской области;
• физических лиц, содержащиеся в сведениях о государственной регистрации смерти;
• специальные категории персональных данных о состоянии здоровья, в том числе диагноз, код заболевания по международному классификатору болезней (МКБ10), факт обращения за медицинской помощью;
• в отношении других субъектов персональных данных.
  2. Источниками персональных данных, обрабатываемых в Учреждении, являются:
• работники, заключившие с Учреждением трудовые договоры, в том числе и работники, уволившиеся из Учреждения, а также физические лица, являющиеся кандидатами на работу;
• граждане, обратившиеся за медицинской помощью (пациенты (их законные представители));
• зарегистрированные пользователи сайта Оператора;
• Федеральный фонд обязательного медицинского страхования;
• территориальные фонды обязательного медицинского страхования других субъектов Российской Федерации;
• медицинские и страховые организации, осуществляющие деятельность в сфере обязательного медицинского страхования на территории Ростовской области;
• отделение Пенсионного фонда Российской Федерации по Ростовской области;
• Ростовское региональное отделение Фонда обязательного социального страхования Российской Федерации;
• контрагенты Оператора (физические лица), представители/работники контрагентов Оператора (юридических лиц);
• электронная почта;
• официальный сайт;
• организации, общественные объединения, орган исполнительной власти Ростовской области, подающие ходатайство о включении врача-специалиста в территориальный реестр экспертов качества медицинской помощи;
• другие субъекты персональных данных.
  3. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в Учреждении не осуществляется, за исключением случаев, предусмотренных частями 2 и 2.1 статьи 10 ФЗ-152.
  4. Трансграничная передача данных Оператором не осуществляется.

3. Правовые основания обработки персональных данных
   1. Обработка персональных данных в Учреждении производится на основании следующих нормативных документов:

• Конституция Российской Федерации;
• Гражданский кодекс Российской Федерации;
• Налоговый кодекс Российской Федерации;
• Федеральный закон от 27.07.2006г. №152-ФЗ «О персональных данных»;
• Федеральный закон от 27.07.2006г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Федеральный закон от 29.11.2010г. №326-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».
• Федеральный закон от 15.11.1997г. №143-ФЗ «Об актах гражданского состояния»;
• Федеральный закон от 02.05.2006г. №59-ФЗ «О порядке рассмотрения обращений граждан»;
• Федеральный закон от 06.12.2011г. №402-ФЗ «О бухгалтерском учете»;
• Федеральный закон от 31.05.1996 N 61-ФЗ «Об обороне»;
• Постановление Правительства Российской Федерации от 21.03.2012г. №211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
• Постановление Правительства Российской Федерации от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Постановление Правительства Российской Федерации от 15.09.2008г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Постановление Правительства Ростовской области 13.01.2012г. №17 «О территориальном фонде обязательного медицинского страхования Ростовской области»;
• Совместный приказ ФСТЭК России, ФСБ России и Мининформсвязи России от 13.02.2008г. № 55/86/20 «Об утверждении порядка проведения классификации информационных систем персональных данных»;
• Приказ Министерства здравоохранения и социального развития Российской Федерации 21.01.2011г. №15н «Об утверждении типового положения о территориальном фонде обязательного медицинского страхования»;
• иные нормативные правовые акты Российской Федерации.

4. Цели обработки персональных данных
   1. Обработка персональных данных в Учреждении осуществляется с целью:

• обеспечения соблюдения Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации, локальных нормативных актов Оператора;
• оказания медицинской помощи гражданам;
• ведения учета оказанной медицинской помощи;
• контроля качества, объемов, сроков, условий оказанной медицинской помощи;
• исполнения налогового законодательства, законодательства по воинскому учету, социальному обеспечению, социальному страхованию;
• ведения учета граждан застрахованных по обязательному медицинскому страхованию граждан на территории Ростовской области;
• ведения кадровой работы;
• регулирования трудовых отношений с работниками Оператора (принятие, перевод, перемещение, увольнение сотрудников, содействие в трудоустройстве, обучение и продвижение по службе, выплаты заработной платы и иных платежей, обеспечение личной безопасности, контроль количества и качества выполняемой работы (услуги), обеспечение сохранности имущества, ведение кадрового делопроизводства и бухгалтерского учета, заполнение и передача в уполномоченные органы требуемых форм отчетности, организация постановки на индивидуальный (персонифицированный) учет работников в системе обязательного пенсионного страхования и подача необходимой информации);
• привлечение и отбор кандидатов на работу у Оператора;
• работы с обращениями граждан в соответствии с Федеральным законом от 02.05.2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан»;
• исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
• формирования справочных материалов для внутреннего информационного обеспечения деятельности учреждения;
• взаимодействие с пользователями сайта Оператора, в том числе обработки запросов и заявок от пользователей сайта;
• осуществления прав и законных интересов Оператора в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными нормативными актами Оператора, или третьих лиц либо достижения общественно значимых целей;
• заключения, изменения, расторжения и исполнения договора с Контрагентами Оператора (физические лица), стороной которого является субъект персональных данных.
• в иных законных целях.

5. Перечень обрабатываемых персональных данных
   1. Сотрудники Учреждения:

• фамилия, имя, отчество (в т.ч. предыдущие);
• паспортные данные или данные документа, удостоверяющего личность;
• дата рождения, место рождения;
• гражданство;
• отношение к воинской обязанности и иные сведения военного билета и приписного удостоверения;
• данные документов о профессиональном образовании, профессиональной переподготовки, повышении квалификации, стажировке;
• данные документов о подтверждении специальных знаний;
• данные документов о присвоении ученой степени, ученого звания, списки научных трудов и изобретений и сведения о наградах и званиях;
• знание иностранных языков;
• семейное положение и данные о составе и членах семьи;
• сведения о социальных льготах, пенсионном обеспечении и страховании;
• данные документов об инвалидности (при наличии);
• данные медицинского заключения (при необходимости);
• стаж работы и другие данные трудовой книжки и вкладыша к трудовой книжке;
• должность, квалификационный уровень;
• сведения о заработной плате (доходах), банковских счетах, картах;
• адрес места жительства (по регистрации и фактический), дата регистрации по указанному месту жительства;
• адрес электронной почты;
• номер телефона (стационарный домашний, мобильный);
• данные свидетельства о постановке на учет в налоговом органе физического лица по месту жительства на территории РФ (ИНН);
• данные страхового свидетельства государственного пенсионного страхования;
• данные страхового медицинского полиса обязательного страхования граждан;
• номера счетов банковских карт для перечисления заработной платы или иных выплат;
• фотография сотрудника Учреждения;
• семейное положение и состав семьи (Свидетельство о вступлении в брак, Свидетельство о рождении ребенка и др.) и связанные с этим данные (ФИО, дата рождения, занятость и наличие социальных льгот супруга/партнера, их занятости);
• информация, касающаяся трудовой деятельности, включая контактные данные (номер рабочего телефона, номер рабочего мобильного телефона, адрес электронной почты, номер факса);
• должностная инструкция; информация о подчиненности;
• должностной оклад и сведения о соответствующих компенсационных выплатах;
• сведения о найме и увольнении;
• информация о дисциплинарных взысканиях;
• информация о льготах;
• сведения об отработанном времени и трудовом графике, а также отпусках;
• сведения о прохождении обучения/тренинга (удостоверения и сертификаты);
• иные категории данных Работника: информация о наличии основания для предоставления льгот медицинского характера, информация о соблюдении правовых обязательств; данные справки о судимости;
• другие данные, относящиеся к сотруднику Учреждения.
  2. Граждане, являющиеся кандидатами на работу:
• фамилия, имя, отчество;
• номер телефона;
• адрес электронной почты;
• сведения об образовании;
• сведения об опыте работы;
• иные сведения, которые соискатель может направить в своем резюме или анкете.
  3. Контрагенты Оператора (физические лица)
• фамилия, имя, отчество;
• номер телефона;
• адрес электронной почты;
• паспортные данные (серия, номер, кем и когда выдан);
• ИНН;
• СНИЛС;
• адрес проживания и/или регистрации;
• банковские реквизиты;
• ОГРНИП (для индивидуальных предпринимателей).
  4. Представители (работники) контрагентов Оператора (юридические лица):
• фамилия, имя, отчество;
• номер телефона;
• адрес электронной почты.
  5. Пациенты, потенциальные пациенты (их законные представители):
• фамилия, имя, отчество;
• пол;
• возраст;
• дата и место рождения;
• адреса места жительства и регистрации;
• серия и номер основного документа, удостоверяющего личность, сведения о выдаче указанного документа и выдавшем его органе;
• данные страхового свидетельства государственного пенсионного страхования;
• гражданство;
• данные о состоянии здоровья, в том числе биометрические персональные данные;
• семейное и социальное положение;
• контактный телефон;
• адрес электронной почты;
• реквизиты полиса обязательного медицинского страхования;
• реквизиты полиса (договора) добровольного медицинского страхования;
• тип занятости;
• место работы, должность.
•  

6. Принципы обработки персональных данных в Учреждении
   1. Обработка персональных данных в Учреждении основана на следующих принципах:

• законность;
• соответствие целей обработки персональных данных полномочиям учреждения;
• недопустимость обработки персональных данных для целей, несовместимых с целями сбора персональных данных;
• недопустимость объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
• соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки;
• обеспечение точности, достаточности, а в необходимых случаях и актуальности персональных данных;
• хранение персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект персональных данных, обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.

7. Меры по обеспечению защиты персональных данных в Учреждении
   1. Учреждение самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Федеральным законом от 27.07.2006г. №152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами.
   2. В Учреждении принимаются следующие меры по обеспечению выполнения обязанностей в области обработки персональных данных:

• назначается Ответственный за организацию обработки персональных данных;
• издаются и утверждаются руководителем Учреждения:

• Политика в отношении обработки персональных данных;
• локальные акты по вопросам обработки персональных данных;
• локальные акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;
• Политика конфиденциальности в отношении пользователей сайта Учреждения.

• применяются правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии с Федеральным законом от 27.07.2006г. №152-ФЗ «О персональных данных»;
• осуществляется внутренний контроль и (или) аудит соответствия обработки персональных данных в Учреждении Федеральному закону от 27.07.2006г. №152-ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, требованиям к защите персональных данных, Политике Учреждения в отношении обработки персональных данных, локальным актам в области обработки и обеспечения безопасности персональных данных;
• осуществляется ознакомление работников учреждения, непосредственно осуществляющих обработку персональных данных, с разработанными инструкциями.
  3. С целью обеспечения безопасности персональных данных при их обработке, Учреждение принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного и случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, в частности:
• определяются угрозы безопасности персональных данных при их обработке в информационных системах персональных данных;
• применяются организационные и технические меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимые для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности Персональных данных;
• применяются прошедшие в установленном порядке процедуры оценки соответствия средства защиты информации;
• осуществляется учет машинных носителей персональных данных;
• проводятся мероприятия по обнаружению фактов несанкционированного доступа к персональным данным и принятию соответствующих мер;
• обеспечивается возможность восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
• устанавливаются правила доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечивается регистрация и учет действий, совершаемых с персональными данными в информационной системе Персональных данных;
• осуществляется контроль за принимаемыми мерами по обеспечению безопасности Персональных данных;
• используются криптографические средства защиты информации, сертифицированные ФСБ России, а также программные и программно-аппаратные средства защиты информации от несанкционированного доступа, сертифицированные ФСТЭК России.
  4. Обработку персональных данных, осуществляемую без использования средств автоматизации необходимо проводить согласно Постановлению Правительства Российской Федерации от 15.09.2008г. №687 “Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации”. В отношении каждой категории персональных данных руководитель отделения (отдела) определяет места хранения персональных данных (материальных носителей) и контролирует обработку персональных данных, осуществляемую без использования средств автоматизации.
  5. Руководитель отделения (отдела) обязан обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях. При хранении материальных носителей обеспечить сохранность персональных данных и исключить несанкционированный к ним доступ.

Политика в отношении обработки персональных данных в ГБУ РО «Клинико-диагностический центр «Здоровье» в г. Ростове-На-Дону 

Политика конфиденциальности в отношении пользователей сайта ГБУ РО «КДЦ «Здоровье» в г. Ростове-на-Дону
 

Разработали:

Начальник информационно-вычислительного отдела  А.И. Фищук

Специалист по защите информации информационно-вычислительного отдела   Б.А. Ковальский