МБУЗ ДГКБ №8
Адрес: г.Челябинск, ул.Дружбы, 2
E-mail: dgkb8@mail.ru
Тел.: +7(351)721-24-22

Политика обработки персональных данных

Муниципальное бюджетное учреждение здравоохранения «Детская городская клиническая больница №8»

ПРИКАЗ

от «31» декабря 2015 г.     № 424

Об утверждении политики
безопасности МБУЗ ДГКБ №8 

В соответствии с требованиями Федерального закона от 27.07.2006 № 152-ФЗ “О персональных данных”, а также для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных Муниципального бюджетного учреждения здравоохранения Детская городская клиническая больница №8 (далее МБУЗ ДГКБ №8).

ПРИКАЗЫВАЮ:

1.    Утвердить политику безопасности МБУЗ ДГКБ №8 (приложение 1).
2.    Разместить на официальном сайте МБУЗ ДГКБ №8 (http://).
3.    Ознакомить всех сотрудников с данной политикой.
4.    Контроль исполнения настоящего приказа оставляю за собой.

Главный врач МБУЗ ДГКБ №8                      О.В.Лопатина             
 



ПРИЛОЖЕНИЕ 1
к приказу от 31.12. 2015 г. № 424

1.    Общие положения
1.1.    Настоящий документ (далее Политика) определяет политику МБУЗ ДГКБ №8 (далее Учреждения) в отношении обработки персональных данных, определяет цели, порядок их обработки, а также содержит сведения о реализуемых требованиях к защите персональных данных.
1.2.    Политика Учреждения разработана на основании: Конституции Российской Федерации; Трудового Кодекса Российской Федерации; Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012г. №1119 и других нормативно-правовых актов в области защиты персональных данных.
1.3.    Настоящей Политикой определяется порядок обращения с персональными данными субъектов, которые обращаются в учреждение или присылаются из других медицинский организаций по Челябинской области, и персональными данными работников Учреждения.
1.4.    Целью настоящей Политики является защита интересов Учреждения, его пациентов, работников, субъектов персональных данных из других медицинский организаций по Челябинской области, а также выполнения законодательства Российской Федерации в области обеспечения безопасности персональных данных.

2.    Информация об операторе
Наименование: Муниципальное бюджетное учреждение здравоохранения Детская городская клиническая больница №8
ИНН  7450006213
КПП  745001001
ОКПО 32551061
ОГРН 1027402818178
Адрес фактического местонахождения: 454047, г.Челябинск, ул.Дружбы, 2

Контактный телефон: 721-24-22

3.    Правовые основания обработки персональных данных
3.1.    Информационная система персональных данных «Бухгалтерия и кадры»: ст. 86 «Трудовой кодекс Российской Федерации» от 30.12.2001 № 197-ФЗ; ст. 6 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»; п. 6,9,27,28 Постановления Правительства РФ от 27.11.2006 № 719 «Об утверждении Положения о воинском учете».
3.2.    Информационная система персональных данных «Медицинская информационная система»: ст. 6,10 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»; ст. 13 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан Российского Федерации», глава IV Постановления Правительства РФ от 4 октября 2012 г. № 1006 «Об утверждении Правил предоставления медицинскими организациями платных медицинских услуг».

4.    Цели обработки персональных данных
4.1.    Информационная система персональных данных «Медицинская информационная система»: установление медицинского диагноза, оказание медицинских услуг. 
4.2.    Информационная система персональных данных «Бухгалтерия и кадры»: обеспечение соблюдения законов и иных нормативных правовых актов, содействие работникам в трудоустройстве, получении образования и продвижении по службе, обеспечение личной безопасности работников, контроль количества и качества выполняемой работы и обеспечение сохранности имущества.
4.3.    Учреждение прекращает обработку персональных данных в следующих случаях:
⦁    при выявлении неправомерной обработки персональных данных, осуществляемой Учреждением.
⦁    при передаче персональных данных в архив (Хранение документов в архиве организованно согласно федеральному закону №125-ФЗ “Об архивном деле в Российской Федерации”)
⦁    при прекращении деятельности Учреждения.
⦁    при ликвидации информационной системы персональных данных.
⦁    при окончании срока хранения и обработки персональных данных.

5.    Категории обрабатываемых персональных данных, источники получения
5.1.    В информационной системе персональных данных «Бухгалтерия и кадры» обрабатываются персональные данные сотрудников, состоящих в трудовых отношениях с Учреждением. Источники получения: сотрудники Учреждения.
5.2.    В информационной системе персональных дынных «Медицинская информационная система» обрабатываются персональные данные физических лиц (пациентов). Источники получения: пациенты Учреждения.

6.    Принципы обработки персональных данных
Учреждение в своей деятельности обеспечивает соблюдение принципов обработки персональных данных, указанных в ст. 5 Федерального закона 152-ФЗ «О персональных данных».
Обработка персональных данных Учреждением осуществляется на основе следующих принципов:
6.1.    Обработка персональных данных осуществляется на законной и справедливой основе.
6.2.    Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
6.3.    Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
6.4.    Обработке подлежат только те персональные данные, которые отвечают целям их обработки;
6.5.    Содержание и объем обрабатываемых персональных данных соответствуют заявленным целям обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям обработки.
6.6.    При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Учреждение должно принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
6.7.    Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

7.    Сведения о третьих лицах, участвующих в обработке персональных данных
7.1.    В целях соблюдения законодательства РФ, для достижения целей обработки персональных данных Учреждение в ходе своей деятельности предоставляет персональные данные, согласно основаниям обработки персональных данных:
⦁    Информационная система персональных данных «Медицинская информационная система»: сервер медицинской информационной системы «Медик Барс».
⦁    Информационная система персональных данных «Бухгалтерия и кадры»: федеральная налоговая служба, пенсионный фонд Российской Федерации, военный комиссариат, Сбербанк.
7.2.    Передача осуществляется с использование криптографических средств защиты информации, сертифицированных ФСБ России.
7.3.    Переда персональных данных по запросу полиции осуществляется согласно ст. 13, части 1, пункта 4 Федерального закона «О полиции» от 07.02.2011 № 3-ФЗ.

8.    Меры по обеспечению безопасности персональных данных при их обработке 
8.1.    Учреждение при обработке персональных данных обязано принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
8.2.    Меры по обеспечению защиты, выявлению и предотвращению нарушений в процессе обработки персональных данных:
1)    определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
2)    применение организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
3)    оценка эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
4)    учет машинных носителей персональных данных;
5)    обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
6)    восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
7)    установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
8)    контроль за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
9)    применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации.

9.    Права субъектов персональных данных.
В соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» субъект персональных данных имеет право: 
9.1.    Субъект персональных данных вправе требовать от Учреждения уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
9.2.    Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1)    подтверждение факта обработки персональных данных;
2)    правовые основания и цели обработки персональных данных;
3)    цели и применяемые Учреждением способы обработки персональных данных;
4)    наименование и место нахождения Учреждения, сведения о лицах, которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Учреждением или на основании федерального законодательства;
5)    обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен законодательством
6)    сроки обработки персональных данных, в том числе сроки их хранения;
7)    порядок осуществления субъектом персональных данных прав, предусмотренных законодательством;
8)    информацию о трансграничной передаче данных;
9)    наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных.
9.3.    Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами.
9.4.    Сведения, указанные в пункте 9.2, должны быть предоставлены субъекту персональных данных в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
9.5.    Если субъект персональных данных считает, что Учреждение осуществляет обработку его персональных данных с нарушением требований обработки персональных данных или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие Учреждения в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
9.6.    Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

10.    Контактная информация
10.1 Ответственным за организацию обработки и обеспечения безопасности персональных данных в Учреждении является заведующий ИАО Борисова О.М.
10.2 Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям Федерального закона от 27.07.2006 г. №152-ФЗ «О персональных данных», является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Телефон справочно-информационного центра: +7(495)987-68-00.

11.    Заключительные положения
11.1. Настоящая политика разработана и утверждается главным врачом Учреждения.
11.2. Учреждение имеет право вносить изменения в настоящую Политику. 
11.3. При внесении изменений в заголовке Политики указывается дата 
последнего обновления редакции. Новая редакция Политики вступает в силу с момента ее утверждения и размещения на сайте Учреждения, если иное не предусмотрено новой редакцией Политики. 
11.4. Настоящая политика обязательна для соблюдения и ознакомления всеми сотрудниками Учреждения.