КГБУЗ «Городская поликлиника №5» Министерства здравоохранения Хабаровского края
Положение о порядке обработки и защиты персональных данных работников и пациентов КГБУЗ «Городская поликлиника №5»
Утверждено и введено в действие
приказом главного врача КГБУЗ
«ГП №5» № 126 от 28.09.2012 г
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение о порядке обработки персональных данных работников и пациентов (далее - положение) КГБУЗ «Городская поликлиника №5» (далее - поликлиника) разработано в соответствии с Конституцией РФ, Трудовым Кодексом РФ, Федеральным законом « Об основах охраны здоровья граждан в Российской Федерации», Федеральным законом «Об информации, информационных технологиях и защите информации», Федеральным законом «О персональных данных», Постановлением Правительства РФ от 15 сентября 2008 года № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
1.2. Положение определяет порядок обработки персональных данных работников поликлиники с целью обеспечение защиты их прав при обработке персональных данных.
1.3. Обработка персональных данных работников и пациентов поликлиники, содержащихся в информационной системе персональных данных, либо извлеченных из такой системы, считается осуществленной без средств автоматизации (неавтоматизированной), если такие действия с персональными данными работника или пациента, как уточнение, распространение, использование, уничтожение персональных данных в отношении субъекта персональных данных, осуществляется при непосредственном участии человека.
1.4. Обработка персональных данных работников поликлиники не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных данного работника, либо были извлечены из нее.
1.5. Порядок ввода в действие Положения.
1.5.1. Положение вступает в силу с момента его подписания и действует бессрочно до замены его новым положением.
1.5.2. Все изменения в положение вносятся приказом главного врача поликлиники.
1.5.3. Режим конфиденциальности персональных данных снимается в случае их обезличивания, а также по истечения 75 лет срока их хранения или продлевается на основании экспертной комиссии поликлиники, если иное не предусмотрено российским законодательством.
1.5.4. Защита нарушенных прав в данной сфере осуществляется в соответствии со ст. 90 ТК РФ: лица, виновные в нарушении норм, регулирующих положение, обработку, защиту персональных данных работника, несут дисциплинарную, административную, гражданско- правовую или уголовную ответственность в соответствии с федеральными законами.
2. ОСНОВНЫЕ ПОНЯТИЯ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКОВ ПОЛИКЛИНИКИ
2.1.Защита персональных данных (ПД) обеспечивается системой правовых (локальное регулирование обработки ПД) и организационно-технических средств.
2.2. Сторонами в отношениях, складывающихся по поводу получения, хранения, обработки, предоставления, защиты ПД работников являются субъекты ПД и держатели ПД. Субъектами ПД являются работники поликлиники. Держателями ПД являются органы государственной власти и администрация поликлиники.
2.3. Для обеспечения защиты прав работников и пациентов поликлиники при обработке их персональных данных используются следующие основные понятия:
- персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации работнику или пациенту, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая работодателю с связи с трудовыми отношениями или выполнением территориальной программы государственных гарантий оказания гражданам медицинской помощи (услуг);
- обработка персональных данных - сбор, систематизация, накопление, хранение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных работников и пациентов поликлиники.
- Конфиденциальность персональных данных - условие, обязательное для соблюдения лицами, получившими доступ к персональным данным работников и пациентов поликлиники, требование не допускать их распространение без согласия работника или пациента или иного законного основания;
- Распространение персональных данных - действия, направленные на передачу персональных данных работников или пациентов поликлиники определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе размещение в информационно -телекоммуникационных сетях или предоставление доступа к персональным данным работников или пациентов каким-либо иным способом.
- Использование персональных данных - действия (операции) с персональными данными, совершаемые работниками поликлиники в целях принятия должностных решений или совершения иных действий, порождающих юридические последствия в отношении работников или пациентов поликлиники либо иным образом затрагивающих их права.
- Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных работников или пациентов поликлиники, в том числе их передачи;
- Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных работников или в результате которых уничтожаются материальные носители персональных данных работников или пациентов поликлиники.
- Обезличивание персональных данных - действия, результате которых невозможно определить принадлежность персональных данных к конкретному работнику поликлиники или ее пациенту.
- Общедоступные персональные данные - персональные данные, доступ к которым с согласия работника или пациента предоставлен неограниченному кругу лиц или на которые не распространяется требование соблюдения конфиденциальности.
- Документированная информация - информация, зафиксированная на материальном носителе путем документирования информации с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
2.2. В состав персональных данных работников поликлиники входят документы, содержащие сведения о паспортных данных, образовании, отношении к воинской обязанности, семейном положении, месте жительства, состоянии здоровья, а также о предыдущих местах их работы. Персональные данные работника содержатся в основном документе персонального учета - в личном деле работника.
2.3. Комплекс документов, сопровождающий процесс оформления трудовых отношений работника поликлиники при его приеме, переводе, увольнении оформляется в соответствии с установленными требованиями:
2.3.1. Информация, предоставляемая работником при поступлении на работу в поликлинику, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу в поликлинику, предъявляет работодателю:
- паспорт или иной документ, удостоверяющий личность;
- трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства;
- страховой свидетельство государственного пенсионного страхования;
- документы воинского учета — для военнообязанных и лиц, подлежащих призыву на военную службу;
- документ об образовании, о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки.
2.3.2. При оформлении работника инспектор отдела кадров заполняет унифицированную форму Т-2 «Личная карточка работника»,в которой отражаются следующие сведения:
- общие сведения о работника поликлиники ( Ф.И.О. работника, дата и место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные, сведения о месте жительства и контактных телефонах);
- сведения о воинском учете;
- сведения об аттестации;
- сведения о повышении квалификации;
- сведения о профессиональной переподготовке;
- сведения о наградах (поощрениях), почетных званиях;
- сведения о социальных гарантиях.
- В дальнейшем в личную карточку вносятся сведения о переводах на другую работу, сведения об отпусках.
2.3.3. В отделе кадров поликлиники создаются и хранятся следующие группы документов, содержащих данные о работниках в единичном или сводном виде:
- документы, содержащие персональные данные работников поликлиники (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; подлинники приказов по личному составу; личные дела и трудовые книжки работников поликлиники; дела, содержание основания к приказу по личному составу; дела, содержащие документы по служебным расследованиям; справочно-информационный банк данных по персоналу поликлиники (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству поликлиники, руководителям структурных подразделений; подлинники и копии отчетов, направляемых государственные органы статистики, налоговые инспекции, вышестоящие органы управления здравоохранением и другие учреждения.
- Документы по организации работы структурных подразделений (должностные инструкции работников, копии приказов, распоряжений, указаний главного врача по общему составу).
- Документы по планированию, учету, анализу и отчетности в части работы с персоналом поликлиники.
2.3.4. Хранение групп документов осуществляется:
- трудовые книжки - в сейфе отдела кадров;
- картотека (Форма Т-2) - в шкафу для картотеки.
- Документы, содержащие персональные данные работников поликлиники - в шкафах структурных подразделений.
2.3.5. Группы документов, содержащих персональные данные в единичном
виде:
- трудовые книжки;
- личные дела;
- личные карточки Т-2.
- Остальные группы документов, с одержащие данные о работниках поликлиники, хранятся в сводном варианте.
3. Обязанности работодателя по защите персональных данных (ПД).
Работодатель при обработке и передаче ПД работника обязан:
- получать все ПД у работника. Если их возможно получить только у третьего лица, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
- Не получать и не обрабатывать ПД работника о его политических, религиозных иных убеждениях, о членстве в общественных объединениях и профсоюзной деятельности, а также о частной жизни. По вопросам, связанным с трудовыми отношениями, работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.
- Не запрашивать информацию о состоянии здоровья работника, кроме сведений о возможности выполнения работником трудовой функции или допуске к осуществлению профессиональной деятельности.
- Не сообщать данные работника третьим лицам без письменного согласия работника, кроме случаев необходимости предупреждения угрозы жизни и здоровью работника или случаев, установленных федеральным законодательством.
- Осуществлять передачу данных в пределах поликлиники в соответствии с локальными внутриорганизационными нормативными актами, с которыми работник должен быть ознакомлен под расписку.
- Разрешать только специально уполномоченным лицам доступ к персональным данным работника, необходимым для выполнения конкретных функций. Уполномоченными лицами являются : главный врач, заместители главного врача по лечебной, экономической и клинико-экспертной работе; главный бухгалтер, инспектор отдела кадров, заведующие структурными подразделениями поликлиники.
- Требовать от лиц, получающих данные о работнике, соблюдения указанных выше требований.
- За счет собственных средств обеспечить защиту ПД работника от неправомерного их использования или утраты.
ПРАВА РАБОТНИКА В ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ (ПД):
Работник имеет право на :
- получение полной информации о своих персональных данных и х обработке;
- свободный бесплатный доступ к своим ПД, включая право на получение копий любой записи, содержащей ПД работника, за исключением случаев, предусмотренных законодательством РФ;
- определение представителей для защиты своих ПД;
- доступ к медицинским данным с помощью соответствующего специалиста по своему выбору;
- требование об исключении или исправлении неверных или неполных ПД, а также данных, обработанных с нарушением установленных требований. При отказе работодателя исключить или исправить ПД работника, последний вправе заявить в письменной форме работодателю о своем несогласии с соответствующим обоснованием такого несогласия. ПД оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
- требование об извещении работодателем всех лиц, которым ранее были сообщены неверные или неполные ПД работника, обо всех произведенных в них исключениях, исправлениях или дополнениях;
- обжалование в суд любых неправомерных действий или бездействий работодателя при обработке и защите его ПД.
Источники персональных данных работника
Персональные данные работника содержатся в основном документе персонального учета работников - в личном деле работника.
Личное дело состоит из следующих разделов:
- анкетно - биографические и характеризующие материалы, к которым относятся:
- Заявление работника о приеме на работу, копия приказа при приеме на работу, трудовой договор;
- анкета, автобиография;
- копии документов об образовании;
- результаты медицинского обследования на предмет годности к осуществлению трудовых функций и обязанностей;
- документы, связанные с переводом и перемещением работника ( копии приказов, заявления работника и т.д.)
- выписки (копии) из документов о присвоении почетных званий, ученой степени, награждении государственными наградами, копии нафадных листов;
- аттестационные листы, копии приказов о поощрениях, взысканиях;
- характеристики и рекомендательные письма;
- заявление работника об увольнении, копия приказа об увольнении;
- другие документы, нахождение которых в личном деле будет признано целесообразным.
- Дополнительные материалы, к которым относятся: расписка работника об ознакомлении с документами поликлиники, устанавливающими порядок обработки ПД, а также о его правах и обязанностях в этой области; карточка учета поощрений и взысканий; характеристика с прежнего места работы; фотографии; дополнения к личному делу; другие документы, нахождение которых в личном деле будет признано целесообразным.
- В личное дело работника включается также опись всех документов, находящихся в деле.
ПОЛУЧЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ РАБОТНИКА (ПД).
Получение, хранение, комбинирование, передача или любое использование ПД работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативно-правовых актов, содействия работникам в трудоустройстве, обучении, продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
Все ПД работника получаются у него самого. Если ПД работника возможно получить только у третьего лица, то работник должен быть уведомлен об этом заранее, и от него должно быть получено письменное согласие. Работодатель должен сообщить работнику о целях, предполагаемых источниках и способах получения ПД, а также о характере подлежащих получению ПД и последствиях отказа работника дать письменное согласие на их получение.
Не допускается получение и обработка ПД работника о его политических, религиозных и иных убеждениях и частной жизни, а также о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных законодательством Российской Федерации.
При принятии решений относительно работника на основании его ПД не допускается использование данных, полученных исключительно в результате их автоматической обработки или электронного получения.
В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции РФ возможно получение и обработка данных о частной жизни работника только с его письменного согласия.
»
ФОРМИРОВАНИЕ И ВЕДЕНИЕ ЛИЧНЫХ ДЕЛ
Личное дело работника формируется после издания приказа о его приеме на работу.
Содержание личного дела работника определяется настоящим положением.
Личному делу присваивается номер, который фиксируется в журнале учета личных дел. Номер личного дела проставляется в верхнем левом углу обложки дела.
К каждому личному делу прилагается фотография работника (без головного убора) формата, установленного в организации. На оборотной стороне фотографии указывается Ф.И.О. работника, заверяемые личной подписью кадрового работника и печатью.
В каждом разделе личного дела ведется внутренняя опись, куда заносятся наименования всех подшитых документов, дата их включения в дело, количество листов, а также дата изъятия документа из дела с указанием лица, и причину изъятия. В случае временного изъятия документа вместо него вкладывается лист-заменитель. Изъятие документов из личного дела производится исключительно с разрешения руководителя кадрового отдела. Внутренняя опись подписывается лицом, ее составляющим, с указанием даты составления.
Все документы, поступающие в личное дело, располагаются в хронологическом порядке.
Не допускается включать в личное дело документы второстепенного значения, имеющие временные (до 10 лет) сроки хранения, например, справки с места жительства, о состоянии здоровья, о семейном положении.
Листы документов, подшитых в личное дело, нумеруются.
Анкета является основным документом личного дела, представляющим собой перечень вопросов о библиографических данных работника, его образовании, сертификации, аттестации, выполняемой работе с начала трудовой деятельности, семейном положении, месте постоянной регистрации и (или) проживания и т.д. Анкета заполняется работником самостоятельно при оформлении приема на работу.
При заполнении анкеты работник должен заполнять все ее графы, на все вопросы давать полные ответы, не допускать исправлений и зачеркивания, прочерков, помарок, в строгом соответствии с записями, которые содержатся в его личных документах. Отрицательные ответы в графах анкеты записываются без повторения вопроса (например, «дети» - не имею»).
При заполнении графы «образование» следует применять следующие формулировки : «высшее», неполное высшее», « Среднее специальное», «Неполное среднее», в зависимости от того, какой документ имеется у работника.
В графе «ближайшие родственники» перечисляются все члены семьи работника с указанием степени родства (отец, мать, муж, жена, сын, дочь родные брат и сестра), далее перечисляются близкие родственники, проживающие совместно с работником. Указываются Ф.И.О., дата рождения каждого члена семьи.
В графе «Выполняемая работа с начала трудовой деятельности» отражаются сведения о работе в строгом соответствии с записями в трудовой книжке. В трудовую деятельность не включается время учебы в общеобразовательных школах, профессионально-технических и других приравненных к ним учебных заведениях. Все записи производятся в хронологическом порядке.
При заполнении анкеты используются следующие документы:
Общегражданский паспорт, трудовая книжка, военный билет, документы об образовании, документы о присвоении ученой степени, ученого звания.
Анкета подписывается лицом, принимаемым на работу, и сотрудником отдела кадров после сверки сведений, занесенных в анкету, с соответствующими документами и заверяется печатью.
Автобиография - документ, содержащий описание в хронологической последовательности основных этапов жизни и деятельности принимаемого работника. Автобиография составляется в произвольной форме без помарок и исправлений.
Основные моменты, которые должны быть отражены в автобиографии: Ф.И.О.; число, месяц и год рождения; полученное образование (где, когда, в каких учебных заведениях по какой специальности); время начала трудовой деятельности; отношение к воинской обязанности, воинское звание; наличие правительственных наград, поощрений; сведения о семейном положении и близких родственниках; дата составления автобиографии и личная подпись.
Автобиография, составленная при приеме на работу, не подлежит корректировке. При необходимости внесения изменений или дополнений последние фиксируются на отдельном листе, подписываются работником с указанием даты и приобщаются к первичной автобиографии. В случае больших изменений биографических данных работника от него может быть затребована обновленная автобиография, первоначальную при этом помещают в раздел личного дела «Дополнительные материалы».
Автобиография не заверяется подписями должностных лиц или печатями.
Копии документов об образовании заверяются личными подписями сотрудников отдела кадров после сверки их с подлинниками документов.
Дополнение к личному делу - документ, в котором фиксируются сведения о перемещении работника по работе (дата вступления в должность и дата ухода с нее), с указанием причины перемещения.
Дополнение к личному делу составляется инспектором отдела кадров и не нуждается в заверении подписью либо печатью.
Кадровая справка составляется работником отдела кадров на бланке принятого в поликлинике образца, содержит в себе сведения о ПД работника в полном соответствии с данными анкеты и автобиографии работника. В случае обновления старая кадровая справка изымается из раздела личного дела « Анкетно - биографические и характеризующие материалы», приобщается к «Дополнительным материалам» и заменяется новой. Кадровая справка подписывается инспектором отдела кадров.
Личное дело ведется на протяжении всей трудовой деятельности работника. Изменения, вносимые в личное дело, должны быть подтверждены соответствующими документами (например. Копия свидетельства о браке).
Инспектор отдела кадров принимает от принимаемого на работу сотрудника документы, проверяет полноту их заполнения и правильность указываемых сведений в соответствии с предъявляемыми документами.
Методы и способы защиты информации в информационных системах персональных данных
Для защиты информации в информационных системах персональных данных от несанкционированного доступа, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, используются методы и способы, поименные в Приказе Федеральной службы по техническому и экспортному контролю от 05 февраля 2010 года №58:
1. Реализация разрешительной системы допуска пользователей (обслуживающего персонала) к информационным ресурсам, информационной системе и связанным с ее использованием работам, документам;
2. Ограничение доступа пользователей в помещения, где размещены технические средства, позволяющие осуществлять обработку персональных данных, а также хранятся носители информации;
3. Учет и хранение съемных носителей информации и их обращение, исключающее хищение, подмену и уничтожение;
4. Использование защищенных каналов связи; Обмен персональными данными при обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем применения технических средств.
5. Размещение технических средств, позволяющих осуществлять обработку персональных данных, в пределах охраняемой территории;
6. Предотвращение внедрения в информационные системы вредоносных программ (программ-вирусов), использование средств антивирусной защиты;
(Ф.И.О, структурное подразделение, должность), ознакомлен с «Положением о персональных данных работника», права и обязанности в области защиты персональных данных мне разъяснены.
«__»________2016г.