+7 (495) 530 01 11 Контактный центр
+7 (495) 530 00 88 Скорая помощь
+7 (499) 140 13 18 Приёмное отделение
+7 (495) 530 09 45 Лабораторная диагностика

Политика конфиденциальности

Политика обработки и защиты персональных данных федерального государственного бюджетного учреждения «Центральная клиническая больница с поликлиникой» Управления делами Президента Российской Федерации

1. Общие положения

1.1. Политика обработки персональных данных (далее - Политика) ФГБУ «ЦКБ с поликлиникой» (далее - Учреждение, Оператор) является основополагающим локальным нормативным актом Учреждения, регулирующим вопросы обработки и защиты персональных данных в Учреждении, разработана в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - закон № 152-ФЗ).

1.2. Настоящая Политика определяет цели и правовые основания обработки персональных данных, устанавливает порядок и условия обработки, процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений.

1.3. Положения настоящей Политики являются основой для разработки иных локальных нормативных актов Учреждения, регламентирующих вопросы обработки и защиты персональных данных.

1.4. Перечень персональных данных, обрабатываемых Учреждением и подлежащих защите, закрепляется в локальных нормативных актах Учреждения.

1.5. Иные вопросы, связанные с обработкой персональных данных, не урегулированные настоящей Политикой, разрешаются в соответствии с действующим законодательством Российской Федерации в области персональных данных.

2. Основные понятия

В настоящей Политике используются следующие основные понятия:

Персональные данные (ПД) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

а) Персональные данные, разрешенные субъектом персональных данных для распространения; Персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном законом № 152-ФЗ;

Оператор - юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

Обработка ПД - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

Автоматизированная обработка ПД - обработка персональных данных с помощью средств вычислительной техники;

Распространение ПД - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

Предоставление ПД - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;

Блокирование ПД - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);

Уничтожение ПД - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

Обезличивание ПД - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;

Информационная система ПД - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

Трансграничная передача ПД - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

Посетитель сайта - физическое лицо, получающее информацию и документацию, размещенную на веб-сайте Учреждения

Потребитель (пациент) - физическое лицо, имеющее намерение заказать (приобрести) либо заказывающее (приобретающее) платные медицинские услуги - медицинское вмешательство или комплекс медицинских вмешательств, направленных на профилактику, диагностику и лечение заболеваний, медицинскую реабилитацию и имеющих самостоятельное законченное значение в соответствии с договором;

Заказчик - физическое (юридическое) лицо, имеющее намерение заказать (приобрести) либо заказывающее (приобретающее) платные медицинские услуги - медицинское вмешательство или комплекс медицинских вмешательств, направленных на профилактику, диагностику и лечение заболеваний, медицинскую реабилитацию и имеющих самостоятельное законченное значение в соответствии с договором в пользу потребителя;

Поставщик товаров и услуг - физическое лицо, с которым сотрудничает Учреждение в рамках деятельности;

Работник - физическое лицо, вступившее в трудовые отношения с Учреждением на основании трудового законодательства и/или иных основаниях, предусмотренных Трудовым Кодексом Российской Федерации.

3. Область действия

3.1. Действие настоящей Политики распространяется на все процессы Учреждения, в рамках которых осуществляется обработка персональных данных, как с использованием средств автоматизации, так и без их использования, с соблюдением принципов и правил, предусмотренных законом № 152-ФЗ.

Действие настоящей Политики не распространяется на отношения,возникающие при организации хранения, комплектования, учета и использования содержащих персональные данные документов Архивного фонда Российской Федерации и других архивных фондов в соответствии с законодательством об архивном деле в Российской Федерации; обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.

3.2. Политика применяется, в т.ч., ко всем работникам Учреждения.

4. Правовые основания обработки персональных данных

4.1. Правовыми основаниями обработки персональных данных является совокупность нормативных правовых актов, во исполнение которых и в соответствии с которыми Учреждение осуществляет обработку персональных данных, в том числе:

  • Конституция РФ;

  • Гражданский кодекс РФ;

  • Налоговый кодекс РФ;

  • Трудовой Кодекс РФ;

  • Федеральный закон № 323-ФЗ от 21.11.2011 «Об основах охраны здоровья граждан в Российской Федерации»;

  • Федеральный закон № 152-ФЗ от 27.07.2006 «О персональных данных»; Федеральный закон № 149-ФЗ от 27.07.2006 «Об информации, информационных технологиях и о защите информации»;

  • Федеральный закон № 402-ФЗ от 06.12.2011 «О бухгалтерском учете»; Федеральный закон № 125-ФЗ от 22.10.2004 «Об архивном деле в Российской Федерации»;
  • Устав и иные локальные нормативные акты Учреждения;

  • иные нормативные правовые акты РФ и нормативные документы

  • уполномоченных органов государственной власти;

  • согласие субъектов персональных данных (их законных представителей) на обработку их персональных данных; договоры с поставщиками товаров и услуг.

5. Цели обработки персональных данных

5.1. Целями обработки персональных данных являются:

  • обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в Учреждении, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;

  • исполнение требований трудового законодательства, трудового договора с работником, ведение бухгалтерского, налогового и кадрового учета, устава Учреждения;

  • продвижение услуг Участника на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи;

  • обеспечение реализации отношений в сфере охраны здоровья, ведения учетной статистической документации, используемой в Учреждении, в соответствии с Федеральным законом № 323-ФЗ от 21.11.2011 «Об основах охраны здоровья граждан в Российской Федерации», иными федеральными законами;

  • рассмотрение обращений граждан.

6. Категории субъектов, персональные данные которых обрабатываются

6.1. Учреждение осуществляет обработку персональных данных следующих субъектов персональных данных:

  • потребители (пациенты), которым оказывается медицинская помощь (либо их законные представители),

  • работники, состоящие с Учреждением в трудовых (либо гражданско- правовых) отношениях (их близкие родственники), в т.ч., уволившиеся или являющиеся кандидатами на работу;

  • заказчики, поставщики товаров и услуг, посетители сайта,
  • иные третьи лица, которые прямо или косвенно определены или определяемы с помощью персональных данных.

7. Автоматизированная обработка персональных данных

7.1. Обработка персональных данных организована Оператором на следующих принципах:

  • законности целей и способов обработки персональных данных, добросовестности и справедливости в деятельности Оператора;

  • ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;

  • достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

  • обработки только персональных данных, которые отвечают целям их обработки. Недопустима обработка персональных данных, несовместимая с целями сбора персональных данных;

  • соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;

  • недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, не совместимых между собой;

  • обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;

  • хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

7.2. Условия обработки персональных данных.

7.2.1. Условия обработки специальных категорий персональных данных:

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни Учреждением не производится.

7.2.2. Условия обработки специальных категорий персональных данных.

В Учреждении осуществляется обработка специальной категории персональных данных:

  • в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;

  • в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну.

7.2.3. Условия обработки биометрических персональных данных:

Сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются Учреждением для установления личности субъекта персональных данных Учреждением не обрабатываются.

7.2.4. Условия обработки иных категорий персональных данных.

Обработка иных категорий персональных данных осуществляется Учреждением с соблюдением следующих условий:

  • обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;

  • обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных.

7.2.5. Условия обработки общедоступных персональных данных:

Обработка общедоступных персональных данных Учреждением не производится. Учреждение не создает общедоступные источники персональных данных.

7.3. Учреждение вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом.

При поручении обработки персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет Учреждение. Лицо, осуществляющее обработку персональных данных по поручению Учреждения, несет ответственность перед Учреждением.

7.4. Работники Учреждения, получившие доступ к персональным данным, не раскрывают третьим лицам и не распространяют персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом (конфиденциальность персональных данных).

7.5. Согласие субъекта персональных данных на обработку его персональных данных:

7.5.1. При необходимости обеспечения условий обработки персональных данных субъекта может предоставляться согласие субъекта персональных данных на обработку его персональных данных.

7.5.2. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Согласие оформляется по форме, разработанной в соответствии с требованиями законодательства и утвержденной Учреждением.

Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель субъекта персональных данных.

В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются Учреждением.

7.5.3. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

7.5.4. Обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных или доказательство выполнения альтернативных условий обработки персональных данных возлагается на Учреждение.

7.5.5. В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

7.5.6. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.

7.6. Трансграничная передача персональных данных Учреждением не осуществляется.

7.7. Права субъектов персональных данных.

7.7.1. Субъект персональных данных имеет право на получение информации (далее запрашиваемая субъектом информация), касающейся обработки его персональных данных.

7.7.2. Субъект персональных данных вправе требовать от Учреждения уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

Запрашиваемая информация предоставляется субъекту персональных данных или его представителю Учреждением при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

7.8. Обязанности Оператора.

7.8.1. При сборе персональных данных Учреждение предоставляет субъекту персональных данных по его просьбе запрашиваемую субъектом информацию.

7.8.2. Если предоставление персональных данных является обязательным в соответствии с федеральным законом, Учреждение разъясняет субъекту персональных данных юридические последствия отказа предоставить его персональные данные.

7.8.3. Если персональные данные получены не от субъекта персональных данных, Учреждение до начала обработки таких персональных данных предоставляет субъекту персональных данных следующую информацию (далее - информация, сообщаемая при получении персональных данных не от субъекта персональных данных):

  • наименование и адрес Оператора или его представителя;

  • цель обработки персональных данных и ее правовое основание;

  • предполагаемые пользователи персональных данных;

  • установленные Федеральным законом «О персональных данных» права субъекта персональных данных;

  • источник получения персональных данных.

7.8.4. Учреждение не предоставляет субъекту информацию, сообщаемую при получении персональных данных не от субъекта персональных данных, в случаях, если:

  • субъект персональных данных уведомлен об осуществлении обработки его персональных данных Учреждением;

  • персональные данные получены Учреждением на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных;

  • персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;

  • предоставление субъекту персональных данных информации, сообщаемой при получении персональных данных не от субъекта персональных данных, нарушает права и законные интересы третьих лиц.

7.8.5. При сборе персональных данных, Оператор обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации, обрабатываемых в информационных системах Учреждения.

7.9. Учреждение принимает меры, необходимые и достаточные для обеспечения выполнения своих обязанностей в части обработки персональных данных.

Учреждение самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, если иное не предусмотрено федеральными законами, в частности:

  • назначение ответственного лица за организацию обработки персональных данных, которое в соответствии со ст. 19 Закона № 152-ФЗ осуществляет организацию обработки персональных данных, организацию организационно-технических мер по обеспечению безопасности персональных данных (защита от неправомерного доступа к ним, уничтожения, изменения, блокирования, копирования и распространения и пр.), а также обучение и инструктаж, внутренний контроль за соблюдением Учреждением и ее работниками требований к защите персональных данных;

  • издание Политики, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

  • доступ сотрудников Оператора к персональным данным, находящимся в информационных системах Оператора, предусматривает обязательное прохождение процедуры идентификации и аутентификации;

  • определение актуальных угроз безопасности персональных данных при их обработке в информационных системах, и разработка мер и мероприятий по защите персональных данных;

  • установление индивидуальных паролей доступа работников в информационную систему в соответствии с их производственными обязанностями;

  • применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, учет машинных носителей, обеспечение их сохранности;

  • сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами;

  • сертифицированное программное средство защиты информации от несанкционированного доступа;

  • сертифицированные межсетевой экран и средство обнаружения вторжения;

  • соблюдение условий, обеспечивающих сохранность персональных данных и исключающие несанкционированный к ним доступ, оценка эффективности принимаемых и реализованных мер по обеспечению безопасности персональных данных;

  • установление правил доступа к обрабатываемым персональным данным, обеспечение регистрации и учета действий, совершаемых с персональными данными, а также обнаружение фактов несанкционированного доступа к персональным данным и принятия мер;

  • восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

  • обучение работников Учреждения, непосредственно осуществляющих обработку персональных данных, положениям законодательства Российской Федерации о персональных данных, в том числе требованиям к защите персональных данных, документами, определяющими политику Учреждения в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных;

  • осуществление внутреннего контроля и аудита соответствия обработки персональных данных требованиям к защите персональных данных, Политике, локальным актам Оператора;

  • оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения закона № 152-ФЗ, соотношение указанного вреда и принимаемых Оператором мер, направленных на обеспечение выполнения обязанностей, предусмотренных законом № 152-ФЗ;

  • ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, Политикой, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников

7.10. В Учреждении создана система защиты персональных данных (далее - СЗПД), состоящая из подсистем правовой, организационной и технической защиты.

  • подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.

  • подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами, защиты информации в открытой печати, рекламной деятельности, аналитической работы.

  • подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту персональных данных.

8. Обработка персональных данных, осуществляемая без использования средств автоматизации

8.1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

8.2. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, обособляются от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее - материальные носители), в специальных разделах или на полях форм (бланков).

8.3. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории

8.4. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе работники Учреждения или лица, осуществляющие такую обработку по договору с Учреждением), проинформированы о факте обработки ими персональных данных, обработка которых осуществляется Оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами Учреждения.

8.5. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание). Указанные правила применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.

8.6. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

8.7. Обработка персональных данных, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных можно определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

8.8. Обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

8.9. При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются Учреждением.

8.10. Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении в порядке, предусмотренном локальными нормативными актами Оператора.

8.11. Взаимодействие с федеральными органами исполнительной власти по вопросам обработки и защиты персональных данных субъектов, персональные данные которых обрабатываются Оператором, осуществляется в рамках законодательства Российской Федерации.

8.12. Оператор обязан представлять документы и локальные акты, указанные в ч. 1 ст. 18.1 закона № 152-ФЗ, и (или) иным образом подтвердить принятие мер, указанных в ч. 1 ст. 18.1 Закона № 152-ФЗ, по запросу уполномоченного органа по защите прав субъектов персональных данных в течение 30 дней.

9. Ответственность за нарушение

9.1. Лица, нарушающие или не исполняющие требования Политики могут быть привлечены к дисциплинарной, административной (ст. ст. 5.39, 13.11 - 13.14, 19.7 Кодекса Российской Федерации об административных правонарушениях) или уголовной ответственности (ст. ст. 137, 140, 272 Уголовного кодекса Российской Федерации).

9.2. Руководители структурных подразделений Оператора несут персональную ответственность за исполнение обязанностей их подчиненными.

10. Заключительные положения

10.1. Настоящая Политика утверждается приказом главного врача Учреждения и действует бессрочно.

10.2. Пересмотр положений настоящей Политики и их актуализация осуществляется по мере необходимости.