КГБУЗ "Городская поликлиника №5" > Об учреждении > Порядок обработки и защиты персональных данных

Порядок обработки и защиты персональных данных

КГБУЗ «Городская поликлиника №5» Министерства здравоохранения Хабаровского края

Положение о порядке обработки и защиты персональных данных работников и пациентов КГБУЗ «Городская поликлиника №5»

Утверждено и введено в действие 

приказом главного врача КГБУЗ 

«ГП №5» № 126 от 28.09.2012 г

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1.        Настоящее Положение о порядке обработки персональных данных работников и пациентов (далее - положение) КГБУЗ «Городская поликлиника №5» (далее - поликлиника) разработано в соответствии с Конституцией РФ, Трудовым Кодексом РФ, Федеральным законом « Об основах охраны здоровья граждан в Российской Федерации», Федеральным законом «Об информации, информационных технологиях и защите информации», Федеральным законом «О персональных данных», Постановлением Правительства РФ от 15 сентября 2008 года № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

1.2.        Положение определяет порядок обработки персональных данных работников поликлиники с целью обеспечение защиты их прав при обработке персональных данных.

1.3.        Обработка персональных данных работников и пациентов поликлиники, содержащихся в информационной системе персональных данных, либо извлеченных из такой системы, считается осуществленной без средств автоматизации (неавтоматизированной), если такие действия с персональными данными работника или пациента, как уточнение, распространение, использование, уничтожение персональных данных в отношении субъекта персональных данных, осуществляется при непосредственном участии человека.

1.4.        Обработка персональных данных работников поликлиники не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных данного работника, либо были извлечены из нее.

1.5.        Порядок ввода в действие Положения.

1.5.1.  Положение вступает в силу с момента его подписания и действует бессрочно до замены его новым положением.

1.5.2.  Все изменения в положение вносятся приказом главного врача поликлиники.

1.5.3.    Режим конфиденциальности персональных данных снимается в случае их обезличивания, а также по истечения 75 лет срока их хранения или продлевается на основании экспертной комиссии поликлиники, если иное не предусмотрено российским законодательством.

1.5.4.    Защита нарушенных прав в данной сфере осуществляется в соответствии со ст. 90 ТК РФ: лица, виновные в нарушении норм, регулирующих положение, обработку, защиту персональных данных работника, несут дисциплинарную, административную, гражданско- правовую или уголовную ответственность в соответствии с федеральными законами.

2. ОСНОВНЫЕ ПОНЯТИЯ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ ПОЛИКЛИНИКИ

2.1.Защита персональных данных (ПД) обеспечивается системой правовых (локальное регулирование обработки ПД) и организационно-технических средств.

2.2.        Сторонами в отношениях, складывающихся по поводу получения, хранения, обработки, предоставления, защиты ПД работников являются субъекты ПД и держатели ПД. Субъектами ПД являются работники поликлиники. Держателями ПД являются органы государственной власти и администрация поликлиники.

2.3.   Для обеспечения защиты прав работников и пациентов поликлиники при обработке их персональных данных используются следующие основные понятия:

-         персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации работнику или пациенту, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая работодателю с связи с трудовыми отношениями или выполнением территориальной программы государственных гарантий оказания гражданам медицинской помощи (услуг);

-         обработка персональных данных - сбор, систематизация, накопление, хранение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных работников и пациентов поликлиники.

-         Конфиденциальность персональных данных - условие, обязательное для соблюдения лицами, получившими доступ к персональным данным работников и пациентов поликлиники, требование не допускать их распространение без согласия работника или пациента или иного законного основания;

-         Распространение персональных данных - действия, направленные на передачу персональных данных работников или пациентов поликлиники определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе размещение в информационно -телекоммуникационных сетях или предоставление доступа к персональным данным работников или пациентов каким-либо иным способом.

-         Использование персональных данных - действия (операции) с персональными данными, совершаемые работниками поликлиники в целях принятия должностных решений или совершения иных действий, порождающих юридические последствия в отношении работников или пациентов поликлиники либо иным образом затрагивающих их права.

-         Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных работников или пациентов поликлиники, в том числе их передачи;

-         Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных работников или в результате которых уничтожаются материальные носители персональных данных работников или пациентов поликлиники.

-         Обезличивание персональных данных - действия, результате которых невозможно определить принадлежность персональных данных к конкретному работнику поликлиники или ее пациенту.

-         Общедоступные персональные данные - персональные данные, доступ к которым с согласия работника или пациента предоставлен неограниченному кругу лиц или на которые не распространяется требование соблюдения конфиденциальности.

-         Документированная информация - информация, зафиксированная на материальном носителе путем документирования информации с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

2.2.         В состав персональных данных работников поликлиники входят документы, содержащие сведения о паспортных данных, образовании, отношении к воинской обязанности, семейном положении, месте жительства, состоянии здоровья, а также о предыдущих местах их работы. Персональные данные работника содержатся в основном документе персонального учета - в личном деле работника.

2.3.    Комплекс документов, сопровождающий процесс оформления трудовых отношений работника поликлиники при его приеме, переводе, увольнении оформляется в соответствии с установленными требованиями:

2.3.1.     Информация, предоставляемая работником при поступлении на работу в поликлинику, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу в поликлинику, предъявляет работодателю:

-         паспорт или иной документ, удостоверяющий личность;

-         трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства;

-         страховой свидетельство государственного пенсионного страхования;

-         документы воинского учета — для военнообязанных и лиц, подлежащих призыву на военную службу;

-         документ об образовании, о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки.

2.3.2.        При оформлении работника инспектор отдела кадров заполняет унифицированную форму Т-2 «Личная карточка работника»,в которой отражаются следующие сведения:

-         общие сведения о работника поликлиники ( Ф.И.О. работника, дата и место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные, сведения о месте жительства и контактных телефонах);

-         сведения о воинском учете;

-         сведения об аттестации;

-         сведения о повышении квалификации;

-         сведения о профессиональной переподготовке;

-         сведения о наградах (поощрениях), почетных званиях;

-         сведения о социальных гарантиях.

-         В дальнейшем в личную карточку вносятся сведения о переводах на другую работу, сведения об отпусках.

2.3.3.    В отделе кадров поликлиники создаются и хранятся следующие группы документов, содержащих данные о работниках в единичном или сводном виде:

-         документы, содержащие персональные данные работников поликлиники (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; подлинники приказов по личному составу; личные дела и трудовые книжки работников поликлиники; дела, содержание основания к приказу по личному составу; дела, содержащие документы по служебным расследованиям; справочно-информационный банк данных по персоналу поликлиники (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству поликлиники, руководителям структурных подразделений; подлинники и копии отчетов, направляемых государственные органы статистики, налоговые инспекции, вышестоящие органы управления здравоохранением и другие учреждения.

-         Документы по организации работы структурных подразделений (должностные инструкции работников, копии приказов, распоряжений, указаний главного врача по общему составу).

-         Документы по планированию, учету, анализу и отчетности в части работы с персоналом поликлиники.

2.3.4.    Хранение групп документов осуществляется:

-         трудовые книжки - в сейфе отдела кадров;

-         картотека (Форма Т-2) - в шкафу для картотеки.

-         Документы, содержащие персональные данные работников поликлиники - в шкафах структурных подразделений.

2.3.5.      Группы документов, содержащих персональные данные в единичном

виде:

-         трудовые книжки;

-         личные дела;

-         личные карточки Т-2.

-         Остальные группы документов, с одержащие данные о работниках поликлиники, хранятся в сводном варианте.

3. Обязанности работодателя по защите персональных данных (ПД).

Работодатель при обработке и передаче ПД работника обязан:

-         получать все ПД у работника. Если их возможно получить только у третьего лица, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

-         Не получать и не обрабатывать ПД работника о его политических, религиозных иных убеждениях, о членстве в общественных объединениях и профсоюзной деятельности, а также о частной жизни. По вопросам, связанным с трудовыми отношениями, работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

-         Не запрашивать информацию о состоянии здоровья работника, кроме сведений о возможности выполнения работником трудовой функции или допуске к осуществлению профессиональной деятельности.

-         Не сообщать данные работника третьим лицам без письменного согласия работника, кроме случаев необходимости предупреждения угрозы жизни и здоровью работника или случаев, установленных федеральным законодательством.

-         Осуществлять передачу данных в пределах поликлиники в соответствии с локальными внутриорганизационными нормативными актами, с которыми работник должен быть ознакомлен под расписку.

-         Разрешать только специально уполномоченным лицам доступ к персональным данным работника, необходимым для выполнения конкретных функций. Уполномоченными лицами являются : главный врач, заместители главного врача по лечебной, экономической и клинико-экспертной работе; главный бухгалтер, инспектор отдела кадров, заведующие структурными подразделениями поликлиники.

-         Требовать от лиц, получающих данные о работнике, соблюдения указанных выше требований.

-         За счет собственных средств обеспечить защиту ПД работника от неправомерного их использования или утраты.

ПРАВА РАБОТНИКА В ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ (ПД):

Работник имеет право на :

-         получение полной информации о своих персональных данных и х обработке;

-         свободный бесплатный доступ к своим ПД, включая право на получение копий любой записи, содержащей ПД работника, за исключением случаев, предусмотренных законодательством РФ;

-         определение представителей для защиты своих ПД;

-         доступ к медицинским данным с помощью соответствующего специалиста по своему выбору;

-         требование об исключении или исправлении неверных или неполных ПД, а также данных, обработанных с нарушением установленных требований. При отказе работодателя исключить или исправить ПД работника, последний вправе заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. ПД оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;

-         требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные ПД работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;

-         обжалование в суд любых неправомерных действий или бездействий работодателя при обработке и защите его ПД.

Источники персональных данных работника

Персональные данные работника содержатся в основном документе персонального учета работников - в личном деле работника.

Личное дело состоит из следующих разделов:

-         анкетно - биографические и характеризующие материалы, к которым относятся:

-         Заявление работника о приеме на работу, копия приказа при приеме на работу, трудовой договор;

-         анкета, автобиография;

-         копии документов об образовании;

-         результаты медицинского обследования на предмет годности к осуществлению трудовых функций и обязанностей;

-         документы, связанные с переводом и перемещением работника ( копии приказов, заявления работника и т.д.)

-         выписки (копии) из документов о присвоении почетных званий, ученой степени, награждении государственными наградами, копии нафадных листов;

-         аттестационные листы, копии приказов о поощрениях, взысканиях;

-         характеристики и рекомендательные письма;

-         заявление работника об увольнении, копия приказа об увольнении;

-         другие документы, нахождение которых в личном деле будет признано целесообразным.

-         Дополнительные материалы, к которым относятся: расписка работника об ознакомлении с документами поликлиники, устанавливающими порядок обработки ПД, а также о его правах и обязанностях в этой области; карточка учета поощрений и взысканий; характеристика с прежнего места работы; фотографии; дополнения к личному делу; другие документы, нахождение которых в личном деле будет признано целесообразным.

-         В личное дело работника включается также опись всех документов, находящихся в деле.

ПОЛУЧЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА (ПД).

Получение, хранение, комбинирование, передача или любое использование ПД работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативно-правовых актов, содействия работникам в трудоустройстве, обучении, продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

Все ПД работника получаются у него самого. Если ПД работника возможно получить только у третьего лица, то работник должен быть уведомлен об этом заранее, и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения ПД, а также о характере подлежащих получению ПД и последствиях отказа работника дать письменное согласие на их получение.

Не допускается получение и обработка ПД работника о его политических, религиозных и иных убеждениях и частной жизни, а также о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных законодательством Российской Федерации.

При принятии решений относительно работника на основании его ПД не допускается использование данных, полученных исключительно в результате их автоматической обработки или электронного получения.

В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ возможно получение и обработка данных о частной жизни работника только с его письменного согласия.

»

ФОРМИРОВАНИЕ И ВЕДЕНИЕ ЛИЧНЫХ ДЕЛ

Личное дело работника формируется после издания приказа о его приеме на работу.

Содержание личного дела работника определяется настоящим положением.

Личному делу присваивается номер, который фиксируется в журнале учета личных дел. Номер личного дела проставляется в верхнем левом углу обложки дела.

К каждому личному делу прилагается фотография работника (без головного убора) формата, установленного в организации. На оборотной стороне фотографии указывается Ф.И.О. работника, заверяемые личной подписью кадрового работника и печатью.

В каждом разделе личного дела ведется внутренняя опись, куда заносятся наименования всех подшитых документов, дата их включения в дело, количество листов, а также дата изъятия документа из дела с указанием лица, и причину изъятия. В случае временного изъятия документа вместо него вкладывается лист-заменитель. Изъятие документов из личного дела производится исключительно с разрешения руководителя кадрового отдела. Внутренняя опись подписывается лицом, ее составляющим, с указанием даты составления.

Все документы, поступающие в личное дело, располагаются в хронологическом порядке.

Не допускается включать в личное дело документы второстепенного значения, имеющие временные (до 10 лет) сроки хранения, например, справки с места жительства, о состоянии здоровья, о семейном положении.

Листы документов, подшитых в личное дело, нумеруются.

Анкета является основным документом личного дела, представляющим собой перечень вопросов о библиографических данных работника, его образовании, сертификации, аттестации, выполняемой работе с начала трудовой деятельности, семейном положении, месте постоянной регистрации и (или) проживания и т.д. Анкета заполняется работником самостоятельно при оформлении приема на работу.

При заполнении анкеты работник должен заполнять все ее графы, на все вопросы давать полные ответы, не допускать исправлений и зачеркивания, прочерков, помарок, в строгом соответствии с записями, которые содержатся в его личных документах. Отрицательные ответы в графах анкеты записываются без повторения вопроса (например, «дети» - не имею»).

При заполнении графы «образование» следует применять следующие формулировки : «высшее», неполное высшее», « Среднее специальное», «Неполное среднее», в зависимости от того, какой документ имеется у работника.

В графе «ближайшие родственники» перечисляются все члены семьи работника с указанием степени родства (отец, мать, муж, жена, сын, дочь родные брат и сестра), далее перечисляются близкие родственники, проживающие совместно с работником. Указываются Ф.И.О., дата рождения каждого члена семьи.

В графе «Выполняемая работа с начала трудовой деятельности» отражаются сведения о работе в строгом соответствии с записями в трудовой книжке. В трудовую деятельность не включается время учебы в общеобразовательных школах, профессионально-технических и других приравненных к ним учебных заведениях. Все записи производятся в хронологическом порядке.

При заполнении анкеты используются следующие документы:

Общегражданский паспорт, трудовая книжка, военный билет, документы об образовании, документы о присвоении ученой степени, ученого звания.

Анкета подписывается лицом, принимаемым на работу, и сотрудником отдела кадров после сверки сведений, занесенных в анкету, с соответствующими документами и заверяется печатью.

Автобиография - документ, содержащий описание в хронологической последовательности основных этапов жизни и деятельности принимаемого работника. Автобиография составляется в произвольной форме без помарок и исправлений.

Основные моменты, которые должны быть отражены в автобиографии: Ф.И.О.; число, месяц и год рождения; полученное образование (где, когда, в каких учебных заведениях по какой специальности); время начала трудовой деятельности; отношение к воинской обязанности, воинское звание; наличие правительственных наград, поощрений; сведения о семейном положении и близких родственниках; дата составления автобиографии и личная подпись.

Автобиография, составленная при приеме на работу, не подлежит корректировке. При необходимости внесения изменений или дополнений последние фиксируются на отдельном листе, подписываются работником с указанием даты и приобщаются к первичной автобиографии. В случае больших изменений биографических данных работника от него может быть затребована обновленная автобиография, первоначальную при этом помещают в раздел личного дела «Дополнительные материалы».

Автобиография не заверяется подписями должностных лиц или печатями.

Копии документов об образовании заверяются личными подписями сотрудников отдела кадров после сверки их с подлинниками документов.

Дополнение к личному делу - документ, в котором фиксируются сведения о перемещении работника по работе (дата вступления в должность и дата ухода с нее), с указанием причины перемещения.

Дополнение к личному делу составляется инспектором отдела кадров и не нуждается в заверении подписью либо печатью.

Кадровая справка составляется работником отдела кадров на бланке принятого в поликлинике образца, содержит в себе сведения о ПД работника в полном соответствии с данными анкеты и автобиографии работника. В случае обновления старая кадровая справка изымается из раздела личного дела « Анкетно - биографические и характеризующие материалы», приобщается к «Дополнительным материалам» и заменяется новой. Кадровая справка подписывается инспектором отдела кадров.

Личное дело ведется на протяжении всей трудовой деятельности работника. Изменения, вносимые в личное дело, должны быть подтверждены соответствующими документами (например. Копия свидетельства о браке).

Инспектор отдела кадров принимает от принимаемого на работу сотрудника документы, проверяет полноту их заполнения и правильность указываемых сведений в соответствии с предъявляемыми документами.

Методы и способы защиты информации в информационных системах персональных данных

Для защиты информации в информационных системах персональных данных от несанкционированного доступа, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, используются методы и способы, поименные в Приказе Федеральной службы по техническому и экспортному контролю от 05 февраля 2010 года №58:

1.              Реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;

2.               Ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;

3.               Учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;

4.               Использование защищенных каналов связи; Обмен персональными данными при обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем применения технических средств.

5.               Размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;

6.               Предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов), использование средств антивирусной защиты;


 

 

 

Приложение

к Положению о персональных данных работников поликлиники:

РАСПИСКА

Я _____________________________________________________________________

(Ф.И.О, структурное подразделение, должность), ознакомлен с «Положением о персональных данных работника», права и обязанности в области защиты персональных данных мне разъяснены.

            «__»________2016г.

            Подпись_________

 


 

 

Приложение

КГБУЗ "Городская поликлиника № 5"                                                                                      

Форма разработана согласно

Федеральному закону №152-ФЗ

"О персональных данных"

от 27 июля 2006г.

СОГЛАСИЕ

на обработку персональных данных

 

Я, нижеподписавшийся, __________________________________________________, проживающий по адресу ______________________________________, паспорт______________  , выдан_______________________________________________    подтверждаю свое согласие на обработку КГБУЗ "Городская поликлиника № 5" г Хабаровск, (далее Оператор) моих персональных данных или персональных данных включающих: фамилию, имя, отчество, пол, дату рождения, адрес проживания, контактный телефон, реквизиты полиса ОМС (ДМС), страховой номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС), данные о состоянии здоровья, заболеваниях, случаях обращения за медицинской стационарной, амбулаторно-поликлинической помощью, реабилитационно - восстановительного лечения, в медико-профилактических целях, в целях установления медицинского диагноза и оказания медицинских услуг при условии, что их обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну.

В процессе оказания Оператором медицинской помощи я предоставляю право медицинским работникам, в интересах моего обследования и лечения, обрабатывать мои персональные данные, содержащие сведения, составляющие врачебную тайну, посредством внесения их в электронную базу данных медицинской информационной системы.

Предоставляю Оператору право осуществлять все действия (операции) с моими персональными данными, включая сбор, накопление, хранение, обновление, изменение, систематизацию, использование, обезличивание, блокирование, уничтожение.

Оператор имеет право во исполнение своих обязательств по работе в системе ОМС,  ДМС, на включение в списки (электронные реестры) и обмен (прием и передачу) моих персональных данных со страховыми медицинскими организациями, другими ЛПУ и организациями (ФСС РФ, ПФР), связанными договорными обязательствами с Оператором, с использованием машинных носителей или по каналам связи, с использованием шифровальных (криптографических) средств, обеспечивающих их защиту от несанкционированного доступа, при условии, что их прием и обработка осуществляется лицом, обязанным сохранять профессиональную тайну.

Оператор вправе обрабатывать мои персональные данные для получения государственной и оперативной статистической отчетности, отчетных форм, предусмотренными документами, регламентирующими предоставление отчетных данных (документов) по ОМС, договором ДМС, вышестоящими организациями, оказывающими руководящую, регламентирующую и методическую помощь Оператору.

Передача моих персональных данных иным лицам или иное их разглашение может осуществляться только с моего письменного согласия.

Я оставляю за собой право отозвать свое согласие на обработку персональных данных посредством составления соответствующего письменного документа, который может быть направлен мной в адрес Оператора по почте заказным письмом с уведомлением о вручении либо вручен лично под расписку представителю Оператора.

Настоящее согласие дано мной _____________ и действует бессрочно.

 

________________________ (подпись субъекта персональных данных)