ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

ПОЛОЖЕНИЕ

об обработке и защите персональных данных в НУЗ "Центральная поликлиника ОАО "РЖД"

 

Для целей настоящего Положения используются следующие понятия:

Безопасность персональных данных — состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи.

Доступ к информационной системе персональных данных -получение возможности запуска, выполнения штатных команд, функций, процедур операционной системы (уничтожения, копирования, перемещения и т.п.), исполняемых файлов прикладных программ.

Доступ к информации - возможность получения информации и ее использования.

Защищаемая информация - информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

Информационная система персональных данных (ИСПДн) - это информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

Носитель информации - физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение   (обновление,  изменение),   использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Персональные данные (ПДн) - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Пользователь информационной системы персональных данных -лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.

Правила разграничения доступа - совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

Ресурс информационной системы - именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.

Средства вычислительной техники - совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Субъект доступа (субъект) - лицо или процесс, действия которого регламентируются правилами разграничения доступа.

Технические средства информационной системы персональных данных - средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации.

Трансграничная    передача    персональных   данных    -    передача персональных данных через государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства.

Угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных.

Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

Регистратура - подразделение НУЗ "Центральная поликлиника ОАО "РЖД" (далее –ЦП РЖД), где осуществляется оформление пациента на обследование и амбулаторное лечение.

 

1. ОБЩИЕ ПОЛОЖЕНИЯ

1. Настоящее положение об обработке и защите персональных данных" (далее - Положение) в НУЗ "Центральная поликлиника ОАО "РЖД" (Далее - Поликлиника) разработано на основании следующих правовых документов:

• Конституция Российской Федерации (принята всенародным голосованием 12 декабря 1993 года);
• Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
• Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Приказ Минздравсоцразвития России от 12.04.2011 N 302н (ред. от 05.12.2014) "Об утверждении перечней вредных и (или) опасных производственных факторов и работ, при выполнении которых проводятся обязательные предварительные и периодические медицинские осмотры (обследования), и Порядка проведения обязательных предварительных и периодических медицинских осмотров (обследований) работников, занятых на тяжелых работах и на работах с вредными и (или) опасными условиями труда" (Зарегистрировано в Минюсте России 21.10.2011 N 22111)
• Указ Президента РФ от 06 марта 1997 года № 188 «Об утверждении перечня сведений конфиденциального характера»;
• Трудовой кодекс Российской Федерации, от 30 декабря 2001 года № 197-ФЗ (принят ГД ФС РФ 21.12.2001 года);
• Гражданский кодекс Российской Федерации (часть первая) от 30 ноября 1994 года № 51-ФЗ (принят ГД ФС РФ 21.10.1994 года);
• Основы законодательства Российской Федерации об охране здоровья граждан (утверждены ВС РФ 22 июля 1993 года № 5487-1).

2. В соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ  «О  персональных данных»,  оператор  персональных  данных  -  это государственный орган, муниципальный орган, юридическое или физическое лицо,  организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

В рамках настоящего положения оператором персональных данных является НУЗ "Центральная поликлиника ОАО "РЖД".

3. Цель разработки Положения:

• обеспечение защиты прав и свобод пациентов, работников и иных субъектов персональных данных, на неприкосновенность частной жизни, личную и семейную тайну, при обработке их персональных данных в НУЗ "Центральная поликлиника ОАО "РЖД";
• определение порядка обработки персональных данных пациентов, работников и иных субъектов персональных данных, ПДн которых обрабатываются в НУЗ "Центральная поликлиника ОАО "РЖД";
• установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.

4.Настоящее Положение вступает в силу с момента его утверждения директором    или    заместителем    директора    НУЗ    "Центральная поликлиника  ОАО "РЖД" и действует бессрочно, до замены его новым Положением. Все работники НУЗ "Центральная поликлиника  ОАО"РЖД" должны быть ознакомлены с настоящим Положением под роспись.

5. Настоящее положение обязательно к исполнению всеми работниками НУЗ "Центральная поликлиника  ОАО "РЖД"

6. Все работники НУЗ "Центральная поликлиника  ОАО "РЖД" должны быть ознакомлены с настоящим Положением под роспись.

7. Прекращение обработки персональных данных работников

7.1. Прекращение   автоматизированной    обработки   персональных данных работников НУЗ "Центральная поликлиника    ОАО"РЖД" в системах персональных данных осуществляется в случаях:

• прекращение договорных отношений с работниками;
• ликвидации  ПУЗ  "Центральная поликлиника     ОАО "РЖД".

7.2. Прекращение не автоматизированной обработки персональных данных работников НУЗ "Центральная поликлиника    ОАО "РЖД"     осуществляется    по    истечению     сроков    хранения    типовых управленческих     документов,     образующихся     в     деятельности     НУЗ"Центральная    клиническая    больница    №6        ОАО    "РЖД",    которые регламентируются Федеральным законом от 21.11.1996 г. №  129-ФЗ «О бухгалтерском  учете»,  Налоговым  кодексом  Российской  Федерации  от31.07.1998 г. № 146-ФЗ и Перечнем типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения, утвержденным Федеральной архивной службой России 06.10.2000 года.

8. Прекращение обработки персональных данных пациентов

8.1.Прекращение    автоматизированной    обработки    персональных данных пациентов НУЗ "Центральная поликлиника    ОАО"РЖД" в информационных системах персональных данных осуществляется:

• по письменному требованию пациента, немедленно, после завершения производства расчетов за оказанные медицинские и медико-социальные услуги;
• по истечению сроков хранения первичных медицинских документов пациента, которые составляют двадцать пять лет для амбулаторных больных, с момента оказания последней медицинской услуги и 50 лет в случае если данные в карте попадают под действие приказа №302н Минздравсоцразвития России от 12.04.2011.

8.2. Прекращение не автоматизированной обработки персональных данных пациентов в НУЗ "Центральная поликлиника   ОАО"РЖД"   и  уничтожение  документов,  содержащих  персональные  данные пациентов, осуществляется по истечению сроков хранения историй болезни и амбулаторных карт пациентов (истории болезней - по истечению 25 летнего срока хранения).

 

1.1. Состав персональных данных

В   НУЗ   "Центральная   поликлиника ОАО "РЖД" обрабатываются:

• персональные данные работников;
• персональные данные пациентов.

1.2. Персональные данные работников

К персональным данным работников относится информация содержащая:

• фамилию, имя, отчество;
• пол;
• место, год и дата рождения;
• паспортные данные (серия, номер паспорта, кем и когда выдан);
• контактный телефон (домашний, рабочий, мобильный);
• адрес регистрации;
• адрес фактического проживания;
• информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность);
• информация о трудовой деятельности до приема на работу;
• информация о трудовом стаже (место работы, должность, период работы, причины увольнения);
• семейное положение и состав семьи (муж/жена, дети);
• сведения о социальных льготах;
• индивидуальный налоговый номер (ИНН);
• страховой номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС);
• информация о знании иностранных языков;
• оклад;
• данные о трудовом договоре (№ трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, длительность дополнительного отпуска за ненормированный рабочий день, обязанности работника, дополнительные социальные льготы и гарантии, № и число изменения к трудовому договору, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты);
• сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета);
• данные об аттестации работников;
• данные о повышении квалификации; данные о наградах, медалях, поощрениях, почетных званиях;
• информация о приеме на работу, перемещении по должности, увольнении;
• информация об отпусках;
• информация о командировках;
• информация о пенсионном обеспечении;
• содержание декларации, подаваемой в налоговую инспекцию;
• подлинники и копии приказов по личному составу;
• личные дела и трудовые книжки сотрудников;
• основания к приказам по личному составу;
• копии отчетов, направляемые в органы статистики;
• реквизиты личных банковских счетов для перечисления заработной платы и других выплат.

При оформлении граждан на работу в НУЗ "Центральная поликлиника ОАО "РЖД", специалистом кадрового органа заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:

• общие сведения (Ф.И.О. работника, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);
• сведения о воинском учете;
• данные о приеме на работу.

В дальнейшем в личную карточку вносятся:

• сведения о переводах на другую работу;
• сведения об аттестации;
• сведения о повышении квалификации;
• сведения о профессиональной переподготовке;
• сведения о наградах (поощрениях), почетных званиях;
• сведения об отпусках;
• сведения о социальных гарантиях;
• сведения о месте жительства и контактных телефонах.

В отделе кадров НУЗ "Центральная поликлиника ОАО "РЖД" создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде:

• комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении;
• комплекс материалов по анкетированию, тестированию, проведению собеседований с кандидатом на должность;
• личные дела и трудовые книжки работников;
• подлинники и копии приказов по личному составу;
• дела, содержащие основания к приказу по личному составу;
• дела, содержащие материалы аттестации работников;
• дела содержащие материалы служебных расследований; подлинники и копии отчетных, аналитических материалов,  передаваемых руководству НУЗ "Центральная  поликлиника ОАО "РЖД", руководителям структурных подразделений;
• копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения);
• документация по организации работы структурных подразделений (положения о структурных подразделениях, должностные инструкции работников, приказы, распоряжения, указания руководства НУЗ "Центральная поликлиника ОАО "РЖД");
• документы по планированию, учету, анализу и отчетности в части работы с персоналом НУЗ "Центральная поликлиника ОАО "РЖД".

1.3. Персональные данные пациентов

В состав персональных данных пациентов входят сведения, содержащие информацию о состоянии здоровья пациента.

К персональным данным пациентов, также относится информация содержащая:

• фамилию, имя, отчество и пол пациента;
• место, год и дата рождения.
• паспортные данные (серия, номер паспорта, кем и когда выдан);
• контактный телефон (домашний, рабочий, мобильный);
• адрес регистрации;
• адрес фактического проживания;
• место работы и занимаемая должность, № удостоверения;
• номер трудовой книжки, дата выхода на пенсию (для пенсионеров РЖД);
• реквизиты полиса ОМС; реквизиты полиса ДМС; страховой номер индивидуального лицевого счета в Пенсионном фонде  России (СНИЛС);
• данные справки МСЭ, подтверждающие группу инвалидности; данные   указанные в Индивидуальной программе реабилитации инвалида;
• документы подтверждающие право на социальные льготы;
• сведения о состоянии здоровья;
• сведения о перенесенных заболеваниях;
• сведения о фактах обращения за медицинской помощью (в медико-профилактических целях, в целях установления медицинского диагноза и оказания медицинских услуг);
• сведения о диагнозе;
• сведения о назначенном лечении;
• медицинские изображения;
• сведения, отражённые в медицинских документах пациента.

Обработка персональных данных, содержащих информацию о состоянии здоровья субъекта персональных данных допускается только в следующих случаях:

- субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

- персональные данные относятся к состоянию здоровья субъекта ПДн и получение его согласия невозможно, либо обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

- если персональные данные являются общедоступными.

2. Сбор, обработка и защита персональных данных работников

2.1. Порядок получения персональных данных работников

Обработка персональных данных работников НУЗ "Центральная поликлиника ОАО "РЖД" осуществляется отделом кадров и бухгалтерией для обеспечения соблюдения законов и иных нормативных правовых актов, предусмотренных законодательством РФ и внутренними документами НУЗ "Центральная поликлиника ОАО "РЖД".

Работодатель вправе обрабатывать персональные данные работников без предоставления ими письменного согласия на обработку в случаях, когда:

1. обработка персональных данных осуществляется на основании Трудового кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия работодателя;
2. обработка персональных данных осуществляется в целях исполнения трудового договора;
3. обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
4. обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно.

В соответствии п. 2 ст. 6 Федерального закона Российской Федерации«О персональных данных» и в целях исполнения трудовых договоров, заключенных между работодателем и работниками, обработка персональных данных работников в НУЗ "Центральная поликлиника ОАО"РЖД", осуществляется без письменного согласия субъектов, за исключением случаев, предусмотренных Федеральным законом.

Работодатель не имеет права получать и обрабатывать персональные данные работника НУЗ "Центральная поликлиника ОАО "РЖД" о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

При принятии решений, затрагивающих интересы субъекта, работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.

При оформлении на работу в НУЗ "Центральная поликлиника ОАО "РЖД" гражданин обязан предоставить в кадровый орган достоверные сведения о себе и своевременно сообщить об изменении своих персональных данных. Сотрудник кадрового органа проверяет достоверность сведений, предоставленных оформляемым гражданином, сверяя эти данные с имеющимися документами.

Все персональные данные гражданина, оформляемого на работу в НУЗ "Центральная поликлиника ОАО "РЖД", сотрудник кадрового органа должен получить непосредственно у этого гражданина.

Если персональные данные оформляемого на работу гражданина, возможно получить только у третьей стороны, то данный гражданин должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.

Должностное лицо работодателя должно сообщить будущему работнику НУЗ "Центральная поликлиника ОАО "РЖД" о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа работника дать письменное согласие на их получение.

В соответствии со ст. 86, гл. 14 ТК РФ в целях обеспечения прав и свобод человека и гражданина, НУЗ "Центральная поликлиника ОАО "РЖД" (Работодатель) и его представители при обработке персональных данных работника должны соблюдать следующие общие требования:

• обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества;
• при определении объема и содержания, обрабатываемых персональных данных Работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами;
• при принятии решений, затрагивающих интересы работника, Работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения;
• защита персональных данных работника от неправомерного их использования или утраты обеспечивается Работодателем за счет его средств в порядке, установленном федеральным законом;
• работники и их представители должны быть ознакомлены под роспись с организационно-распорядительными документами НУЗ "Центральная поликлиника ОАО "РЖД", устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области;
• во всех случаях отказ работника от своих прав на сохранение и защиту тайны недействителен. 

Персональные данные работников хранятся в кадровом подразделении, в бухгалтерии и в архиве НУЗ "Центральная поликлиника ОАО "РЖД". Личные дела работников хранятся в электронном и бумажном виде.

Работники НУЗ "Центральная поликлиника ОАО "РЖД", имеющие доступ к персональным данным сотрудников в связи с исполнением трудовых обязанностей должны:обеспечить хранение информации, содержащей персональные данные работника, исключающее доступ к ним третьих лиц;при уходе в отпуск, убытии в служебную командировку (в другихслучаях длительного отсутствия на своем рабочем месте), передатьдокументы и иные носители, содержащие персональные данные работниковлицу, имеющему допуск к персональным данным, по акту, на котороеприказом НУЗ "Центральная поликлиника ОАО "РЖД"(распоряжением) будет возложено исполнение его трудовых обязанностей.

При увольнении сотрудника, имеющего доступ к персональным данным работников, документы и иные носители, содержащие персональные данные работников, передаются другому работнику, имеющему доступ к персональным данным работников по указанию руководителя структурного подразделения.

Проведение работ по определению сроков хранения и отборудокументов на хранение и уничтожение в НУЗ "Центральная поликлиника ОАО "РЖД" производится постоянно действующимиэкспертными комиссиями (далее - ЭК), в состав которых включаютсянаиболее квалифицированные специалисты основных структурныхподразделений под председательством одного из руководящих работниковНУЗ "Центральная поликлиника ОАО "РЖД", а такжепредставители архива НУЗ "Центральная поликлиника   ОАО"РЖД".

В своей работе экспертные комиссии руководствуются:

• положениями Федерального закона от 21.11.1996 г. № 129-ФЗ «Обухгалтерском учете»;
• положениями Налогового кодекса Российской Федерации от 31.07.1998г. № 146-ФЗ;
• Перечнем типовых управленческих документов, образующихся в деятельности организаций, с указанием сроков хранения, утвержденного Федеральной архивной службой 06.10.2000 г.;
• указаниями Росархива;
• организационно-распорядительными документами НУЗ "Центральная поликлиника ОАО "РЖД".

Отбор документов на постоянное, временное хранение и к уничтожению должен проводиться в соответствии с действующими правилами работы государственного архива, правилами работы архива НУЗ "Центральная поликлиника  ОАО "РЖД", а также указаниями относится к государственным учреждениям и не является источником комплектования государственного, муниципального архива, то документы, образующиеся в деятельности учреждения, сроки хранения которых определены Перечнем типовых управленческих документов, утвержденным Федеральной архивной службой 06.10.2000 г. как «постоянно», по решению руководства НУЗ "Центральная поликлиника ОАО "РЖД", могут храниться ею самостоятельно, либо при наличии заключенного договора, передаваться в архивы, в сроки и в соответствии с порядком, установленным Положением об Архивном фонде Российской Федерации.

По истечении сроков хранения в архиве НУЗ "Центральная поликлиника ОАО "РЖД", документация, отобранная на государственное, муниципальное хранение с соответствующим научно-справочным аппаратом и страховыми копиями на особо ценные документы, передается в архив.

2.3. Доступ к персональным данным работников

Доступ к персональным данным работников имеют сотрудники НУЗ "Центральная поликлиника ОАО "РЖД", которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей. Перечень сотрудников, имеющих доступ к персональным данным работников, определяется приказом  директора НУЗ "Центральная поликлиника ОАО "РЖД".

В целях исполнением трудовых обязанностей (порученного задания) и на основании служебной записки с положительной резолюцией Руководителя НУЗ "Центральная поликлиника ОАО "РЖД", доступ к персональным данным работников может быть предоставлен иному сотруднику, который не включен в приказ о доступе к персональным даннымработников.

Процедура оформления доступа к персональным данным работника включает в себя:

• ознакомление работника под роспись с настоящим Положением, а также другими организационно-распорядительными документами НУЗ "Центральная поликлиника ОАО "РЖД", регламентирующими обработку и защиту персональных данных;
• подпись оформляемыми на работу работниками, совместно с Трудовым договором, Обязательства о соблюдении конфиденциальности обрабатываемых персональных данных субъектов и соблюдении правил их обработки (Приложение № 1).  

Работники НУЗ "Центральная поликлиника OAО «РЖД» , имеющие доступ к персональным данным других работников, имеют право получать только те персональные данные работников, которые необходимы для осуществления трудовых обязанностей в рамках законодательства РФ.

Доступ   к   персональным  данным без разрешения имеют руководитель НУЗ "Центральная поликлиника ОАО "РЖД" и его заместители.

Допуск к персональным данным работников (кроме своих ПДн), других сотрудников ПУЗ "Центральная поликлиника ОАО "РЖД", не имеющих надлежащим образом оформленного доступа, запрещается.

Работник НУЗ "Центральная поликлиника   ОАО "РЖД"имеет право:

• получать доступ к своим персональным данным, включая право на ознакомление с ними и безвозмездное получение копий любой записи, содержащей персональные данные работника;
• требовать от Работодателя уточнения, исключения или исправления  неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющих необходимыми для Работодателя персональных данных;
• получать от Работодателя:
  • сведения о лицах, которые имеют доступ к персональным данным работника, или которым может быть предоставлен такой доступ;
  • перечень   обрабатываемых   персональных   данных   и   источник   их получения;
  • сроки   обработки   персональных   данных,   в   том числе сроки их хранения;
  • сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
• требовать извещения Работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех  произведенных в них исключениях, исправлениях или дополнениях;
• обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Работодателя при обработке и защите его персональных данных.

Копировать и делать выписки персональных данных, необходимых работнику, возможно только с разрешения руководства НУЗ "Центральная поликлиника ОАО "РЖД".

2.4. Передача персональных данных работников третьим лицам

При передаче персональных данных работника третьим лицам, Работодатель должен соблюдать следующие требования:

1. Не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.

2. Предупредить лиц, получивших персональные данные работника о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от третьих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные работника, обязаны соблюдать режим конфиденциальности. Данное Положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.

3. Передача (обмен и т.д.) персональных данных работников между подразделениями  НУЗ  "Центральная  поликлиника ОАО"РЖД", осуществляется только между работниками, имеющими доступ к персональным данным работников. Работник кадрового органа вправе передавать персональные данные сотрудника в бухгалтерию и иные структурные подразделения, в случае необходимости исполнения работниками соответствующих структурных подразделений своих трудовых обязанностей. При передаче персональных данных работника, сотрудник кадрового органа, предупреждает лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены.

4. Разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право   получать   только   те   персональные   данные   работника,   которые необходимы для выполнения конкретной функции.

5. Передавать   персональные   данные   работника   представителям работников (в том числе адвокату) в порядке, установленном действующим законодательством    и    настоящим    Положением    и    ограничивать    эту информацию  только  теми  персональными  данными работника,  которые необходимы для выполнения указанными представителями их функций. Информация передается при наличии одного из документов:

• нотариально удостоверенной доверенности представителя работника;
• письменного   заявления   работника,   написанного    в    присутствии должно быть нотариально заверено).

Предоставление персональных данных работника государственным органам производится в соответствии с требованиями действующего законодательства и настоящим Положением. Передача информации, содержащей персональные данные может быть произведена только после регистрации факта передачи в Журнале учета передачи персональных данных (Приложение №7). Ответственность за соблюдение вышеуказанного порядка предоставления персональных данных работника несет сотрудник НУЗ "Центральная поликлиника ОАО "РЖД", а также руководитель структурного подразделения, осуществляющего передачу персональных данных работника третьим лицам.

3. СБОР,    ОБРАБОТКА    И    ЗАЩИТА    ПЕРСОНАЛЬНЫХ  ДАННЫХ ПАЦИЕНТОВ

3.1. Порядок получения и обработки персональных данных пациентов

Персональные данные пациентов, обрабатываемые в НУЗ "Центральная поликлиника ОАО "РЖД" должны быть получены непосредственно от пациента:

а) При поступлении на обследование или амбулаторное лечение пациент предоставляет:

• документ удостоверяющий личность (паспорт, удостоверение личности офицера или военный билет - для военнослужащих, паспорт моряка);
• документы подтверждающие право на медицинское обслуживание (страховой полис ОМС, страховой полис ДМС, документы, необходимые для  осуществления расчетов за оказанные медицинские услуги и др.);
• документы подтверждающие принадлежность пациента к сотрудникам ОАО «РЖД», принадлежность к члену семьи сотрудника ОАО «РЖД», а также принадлежность к пенсионеру-железнодорожнику, в случае оказания пациенту медицинских услуг в соответствии с положениями коллективного договора.

Также пациент может предоставить:

• направление на госпитализацию;
• данные предварительного медицинского обследования;
• копию либо выписку из истории болезни;
• амбулаторную карту и т.д.

б) В ходе проведения обследования амбулаторного лечения пациентов НУЗ "Центральная поликлиника    ОАО"РЖД"   становится   обладателем   следующей   информации, содержащей персональные данные пациента:

• сведения о состояние здоровья;
• виды проводимых исследований и анализов;
• результаты исследований и анализов;
• диагноз;
• виды и методы проводимого лечения;
• биометрические данные
• медицинские изображения пациента
• виды и методы реабилитации.

Обработка персональных данных пациентов включает:

• фиксацию информации о пациенте, состоянии его здоровья и оказании медицинских услуг в истории болезни, амбулаторной карте и автоматизированных системах персональных данных;
• передачу историй болезни и амбулаторных карт между отделениями и структурными подразделениями НУЗ "Центральная поликлиника ОАО "РЖД";
• передачу сведений о пациенте, результатах исследований и оказанных ему услугах страховым компаниям и другим организациям, с которыми для установления диагноза заболевания и оказания ему медицинских и медико-социальных услуг;
• хранение документов, содержащих персональные данные пациентов в медицинских архивах;
• хранение информации, содержащей персональные данные в базах данных информационных систем персональных данных;
• предоставление информации, содержащей персональные данные (копии историй болезней, амбулаторных карт, эпикризов, выписок и т.д.) пациентам (владельцам ПДн), либо их законным представителям;
• предоставление информации, содержащей персональные данные пациентов по запросу органов дознания, следствия и суда в связи с проведением расследования или судебным разбирательством;
• предоставление информации, содержащей персональные данные пациентов правоохранительным органам при наличии оснований,  позволяющих полагать, что вред здоровью гражданина причинен в результате противоправных действий.

Обработка персональных данных пациентов допускается, если:

1. субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
2. персональные данные являются общедоступными;
3. персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных  жизненно  важных  интересов  других  лиц,   и  получение  согласия  субъекта персональных данных невозможно;
4. обработка   персональных   данных   осуществляется   в   медико-профилактических целях, в целях установления медицинского диагноза, оказания   медицинских   и   медико-социальных  услуг   при   условии,   что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну.

Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности и интимной жизни допускается только в случаях, если она непосредственно связана с оказанием медицинской помощи.

Обработка специальных категорий персональных данных, касающихся судимости, политических взглядов, религиозных или философских убеждений ЗАПРЕЩЕНА.

Обработка специальных категорий персональных данных, касающихся состояния здоровья, должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка полученных исключительно в результате их автоматизированной обработки или электронного получения.

3.2. Порядок получения согласия на обработку персональных данных

Оформление согласия на обработку персональных данных осуществляется в регистратуре перед оформлением пациента на обследование или амбулаторное лечение.

Обязанность по сбору согласий на обработку персональных данных пациентов возлагается на работников регистратур (медицинских регистраторов). Работник регистратуры (медицинский регистратор) обязан (завести историю болезни или амбулаторную карту) поступающего на обследование или амбулаторное лечение пациента.

После ознакомления и подписи пациентом согласия на обработку его персональных данных, работник регистратуры вклеивает подписанное согласие в заводимую на пациента историю болезни или амбулаторную карту. Дальнейшее хранение согласия пациента на обработку его персональных данных осуществляется при истории болезни (амбулаторной карте).

Истории болезни и амбулаторные карты выдавать на руки пациентам запрещается. В случае обращения пациента о выдаче ему сведений отраженных в истории болезни (амбулаторной карте), ему выдаются копии.

3.3. Хранение персональных данных пациентов

Хранение   персональных  данных  пациентов   в  НУЗ   "Центральная поликлиника ОАО "РЖД" осуществляется в электронном и печатном (рукописном) виде.

Хранение персональных данных в электронном виде осуществляется в базах данных информационных систем персональных данных (медицинская информационная система, лабораторная информационная система, рентгенологическая информационная система).

Хранение персональных данных в печатном (рукописном) виде осуществляется:

• в картотеке регистратуры, предназначенной для ведения постоянной работы с амбулаторными картами пациентов;
• в кабинете врача во время приёма;
• в кабинете врача-эксперта во время проведения экспертизы;
• в медицинском архиве, предназначенном для хранения медицинской и общей документации;
• у медицинского персонала, осуществляющего предрейсовые медицинские осмотры;
• у медицинского персонала и сотрудников подразделений статистики, при осуществлении проверки правильности заполнения историй болезни и электронных баз данных;
• у сотрудников бухгалтерии при осуществлении расчетов взимаемой платы за оказанные услуги.

При осуществлении хранения персональных данных пациентов в информационных системах персональных данных, ИСПДн должны отвечать требованиям безопасности информации от несанкционированного доступа, в том числе случайного, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных.

Временное хранение медицинской документации, содержащей персональные данные пациентов в период их обследования или амбулаторного лечения осуществляется медицинским персоналом НУЗ "Центральная поликлиника ОАО "РЖД" и должно обеспечивать сохранность данных документов и исключать возможность несанкционированного доступа к ним, результатом которого может стать их распространение, копирование, уничтожение, незаконная передача третьим лицам.

При осуществлении хранения документации, содержащей персональные данные пациентов в картотеке регистратуры и медицинских архивах, должны обеспечиваться сохранность документов, безопасность их хранения, а также быстрый поиск необходимых (запрашиваемых) материалов.

Помещения, предназначенные для хранения архивных документов, содержащих персональные данные пациентов должны отвечать требованиям предъявляемым к архивным помещениям и исключать возможность несанкционированного доступа и порчи/потери документов.

Медицинские карты амбулаторных больных в медицинском архиве хранятся 25 лет, срок хранения исчисляется со дня сдачи истории болезни в медицинский архив. По истечении 25 лет экспертной комиссией НУЗ "Центральная поликлиника ОАО "РЖД" производится просмотр историй болезни, сданных в медицинский архив, для отбора на дальнейшее хранение наиболее ценных в научно-практическом значении историй болезни.

В случае если медицинская карта амбулаторного больного содержит данные по предварительным или периодическим медицинским осмотрам работников, занятых на тяжелых работах и на работах с вредными и (или) опасными условиями труда, согласно приказа №302н Минздравсоцразвития России от 12.04.2011, срок хранения составляет 50 лет.

Остальная документация хранится в соответствии со сроками установленными «Перечнем документов со сроками хранения Министерства здравоохранения СССР, органов, учреждений, организаций, предприятий системы здравоохранения», введенным в действие приказом Минздрава СССР от 30 мая 1974 г. № 493, после чего уничтожается по акту.

В своей работе экспертные комиссии руководствуются:

• Приказом Минздрава СССР от 30 мая 1974 г. № 493 «О введении в действие Перечня документов со сроками хранения Министерства здравоохранения СССР, органов, учреждений, организаций, предприятий системы здравоохранения»;
• Перечнем форм первичной медицинской документации учреждений здравоохранения, утвержденным приказом Министерства здравоохранения СССР от 4 октября 1980 г. № 1030.

3.4 Порядок отбора медицинских документов, содержащих персональные данные на государственное хранение или выделения к уничтожению

По истечении сроков хранения медицинских документов, постоянно действующая экспертная комиссия проводит экспертизу научной и исторической ценности данных документов, после чего принимает решение об отборе их на государственное хранение или выделении к уничтожению.

В процессе изучения должны учитываться как общие критерии отбора, так и специфические критерии экспертизы ценности медицинской документации. Только лишь комплексная оценка с позиций общих и специфических критериев позволит провести научно-обоснованный отбор медицинской документации. При отборе на государственное хранение карт амбулаторных больных, историй болезни и др. документов, прежде всего ставится задача сохранить те документы, которые имеют существенное   значение   для   изучения   новых   эффективных   методов.  Возможно рекомендовать оставлять на государственное хранение те истории болезни и карты амбулаторных больных, которые содержат:

а) описание неизвестного науке заболевания или заболевания с особо резкими патологическими отклонениями;

б) наиболее полное описание течения отдельных нозологических форм болезней;

в) описание новых эффективных методов лечения;

г) сведения о лечении больных особо опасными инфекциями;

д) медицинские записи о лечении выдающихся государственных и общественно-политических деятелей, деятелей науки и культуры;

е) медицинские   записи,   произведенные   выдающимися   деятелями медицины.

После передачи медицинских документов, содержащих персональные данные пациентов в архив, персональные данные данных пациентов, содержащиеся в информационных системах персональных данных НУЗ "Центральная поликлиника ОАО "РЖД", должны гарантированно уничтожаться.

3.5. Доступ к персональным данным пациентов

Доступ к персональным данным пациентов имеют сотрудники НУЗ "Центральная поликлиника ОАО "РЖД", которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей. Перечень сотрудников допущенных к персональным данным пациентов определяется приказом директора НУЗ "Центральная поликлиника ОАО "РЖД".

Процедура оформления доступа к персональным данным пациентов включает в себя:

- ознакомление работника под роспись с настоящим Положением, а также другими организационно-распорядительными документами, регламентирующими обработку и защиту персональных данных;

- заключение НУЗ "Центральная поликлиника ОАО "РЖД" с работниками Обязательства о соблюдении конфиденциальности обрабатываемых персональных данных субъектов и соблюдении правил их обработки.

Работники НУЗ "Центральная поликлиника ОАО "РЖД", работающие с персональными данными пациентов должны пользоваться ими в том объёме, который необходим им для выполнения конкретных трудовых функций.

Доступ к персональным данным пациентов без специального разрешения имеют директор  НУЗ "Центральная поликлиника ОАО "РЖД" и его заместители в объёме необходимом и  достаточном для исполнения своих должностных обязанностей.

Субъект персональных данных (пациент) имеет право:

1. Получать информацию от врача и непосредственно знакомиться с медицинской документацией, отражающей состояние его здоровья, и получать консультации по ней у других специалистов (ч.4 ст. 31 «Основ законодательства об охране здоровья граждан»), в том числе включая:

• сведения о результатах обследования;
• сведения о наличии заболевания, его диагнозе и прогнозе;
• информацию о целях и методах предполагаемого вмешательства;
• информацию об альтернативных (известных возможных других) видах вмешательств и их результатах;
• информацию о продолжительности рекомендуемого лечения;
• информацию о болевых ощущениях от данного вмешательства;
• информацию  о  возможном  риске,  известных  побочных  эффектах вмешательства;
• информацию об ожидаемых результатах вмешательства;
• информацию   о   возможных   медико-социальных,   психологических, экономических и других возможных последствиях вмешательства.

2. В   случаях   неблагоприятного   прогноза   развития   заболевания информация должна сообщаться в деликатной форме гражданину и членам его семьи, если гражданин не запретил сообщать им об этом и (или) неназначил лицо, которому должна быть передана такая информация» (ст. 31«Основ законодательства об охране здоровья граждан»).Информация о состоянии здоровья не может быть предоставлена гражданину против его воли.

3. По письменному запросу получать копии медицинских документов, отражающих состояние его здоровья, если в них не затрагиваются интересы третьих лиц.

4.Требовать от НУЗ "Центральная поликлиника   ОАО"РЖД"   уточнения,   исключения  или  исправления  неполных,   неверных, устаревших, недостоверных, незаконно полученных или не являющих с необходимыми для НУЗ "Центральная поликлиника    ОАО"РЖД" персональных данных;

5. Получать от НУЗ "Центральная поликлиника   ОАО"РЖД":

• сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
• перечень   обрабатываемых   персональных   данных   и   источник   их получения;
• сроки   обработки   персональных;
• информацию о том, какие последствия может повлечь за собой обработка его персональных данных.

Запрос на получение информации должен содержать паспортные данные и личную подпись. НУЗ "Центральная поликлиника ОАО "РЖД" должна ответить на подобный запрос в течение 10 дней. Ответ на запрос должен предоставляться субъекту в доступной форме - письменно, при возможности устно или по телефону. В ответе на запрос не должно содержаться персональной информации, которая относится к другим субъектам. Отказ в предоставлении доступа к данным, сведений об обработке или уточнении персональных данных должен быть обоснован.

6. Требовать извещения НУЗ "Центральная поликлиника ОАО  "РЖД"   всех  лиц,  которым  ранее  были  сообщены  неверные  или неполные    персональные    данные,    обо    всех    произведенных    в    них исключениях, исправлениях или дополнениях.

7. Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия НУЗ "Центральная поликлиника ОАО "РЖД" приобработке и защите его персональных данных.Информация о состоянии здоровья субъекта предоставляется ему, а в отношении лиц, не достигших совершеннолетнего возраста и граждан, признанных в установленном законом порядке недееспособными,  их законным представителям лечащим врачом, заведующим отделением или другими специалистами, принимающими непосредственное участие в обследовании и лечении.

3.6. Передача персональных данных пациентов

Передача персональных данных пациентов может осуществляться между лечащими врачами и медицинскими работниками отделений, а также между структурными подразделениями НУЗ "Центральная поликлиника ОАО "РЖД" в целях выполнения ими своих функциональных обязанностей.

С согласия гражданина или его законного представителя допускается передача информации, содержащей персональные данные, другим гражданам, в том числе третьим лицам, в интересах обследования и лечения пациента, для проведения научных исследований, публикации в научной литературе, использования этих сведений в учебном процессе и в иных целях.

Согласие пациентов на передачу их персональной информации третьим лицам необходимо запрашивать, в случаях, когда данные передаются третьим лицам, организациям (учреждениям), которые не занимаются предоставлением медицинских услуг, например страховым компаниям, работодателям или используются в целях, которые не предполагается раскрытие, опубликование персональной информации (например, при проведении исследований).

Предоставление сведений, содержащих персональные данных, без согласия гражданина или его законного представителя допускается:

1. в целях обследования и лечения гражданина, не способного из-за своего состояния выразить свою волю;
2. при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
3. по   запросу   органов  дознания,   следствия   и   суда   в   связи   с проведением расследования или судебным разбирательством;
4. в   случае   оказания   помощи   несовершеннолетнему   лицу,   для информирования его родителей или законных представителей;
5. при наличии оснований, позволяющих полагать, что вред здоровью гражданина причинен в результате противоправных действий;
6. в случае смерти пациента, заключение о причине смерти и диагнозе заболевания  выдается  членам  семьи,  а при  их  отсутствии – близким родственникам    или    законному    представителю    умершего,    а    также правоохранительным органам по их требованию.

Информация также может быть предоставлена без согласия пациента при передаче данных в архив или организации правопреемнику, которая будет исполнять те же функции.

Лица, которым в установленном законом порядке переданы сведения, содержащие персональные данные пациентов, наравне с медицинскими и фармацевтическими работниками с учетом причиненного гражданину ущерба несут за разглашение данной информации дисциплинарную, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.

Выдача историй болезни, амбулаторных карт пациентов и других документов, хранящихся в медицинских архивах НУЗ "Центральная поликлиника ОАО "РЖД", для использования их в отделениях больницы для текущей лечебной работы может производится по письменным требованиям заведующих отделениями.

Все без исключения случаи выдачи историй болезни и других архивных материалов, должны обязательно заноситься в Книгу выдачи.

Выемка документов из дел и выдача архивных материалов из архива за пределы лечебного учреждения, хотя бы и для временного пользования, запрещается, за исключением тех случаев, когда такая выемка или выдача производится с ведома главного врача лечебного учреждения по требованиям:

1. судебно-следственных органов;
2. судебно-медицинской экспертизы;
3. органов государственного контроля.

В таких случаях на место изъятых подлинников документов вкладываются, заверенные главным врачом НУЗ "Центральная поликлиника ОАО "РЖД", копии подлинников документов с отметкой на них основания и даты выемки или выдачи и ссылкой на акт.

Передача информации, содержащей персональные данные может быть произведена только после регистрации факта передачи в Журнале учета передачи персональных данных (Приложение № 7).

4.  ПОРЯДОК УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ

Уничтожение персональных данных работников НУЗ "Центральная поликлиника ОАО "РЖД" и обслуживаемых пациентов должно быть гарантированным и обеспечивать невозможность восстановления содержания персональных данных в информационной системе персональных данных или носителей их содержащих.

Способы уничтожения персональных данных:

1. Физическое уничтожение носителя
2. Уничтожение информации с носителя

При    уничтожении    бумажных     носителей    персональных   данных используются   2   вида   уничтожения: уничтожение   через   шредирование (измельчение и гидрообработка) и     уничтожение через термическую обработку (сжигание).

При уничтожении персональных данных, хранящихся в электронных базах данных должен применяться  метод гарантированного стирания информации с носителей.

Уничтожение документации, черновиков, испорченных листов и бланков, разрабатываемых в повседневной деятельности учреждения и содержащих персональные данные, производится работниками НУЗ "Центральная поликлиника ОАО "РЖД", которые производят их разработку, и осуществляется в рабочих помещениях.

Уничтожение архивных медицинских документов, содержащих персональные данные работников и пациентов, с истекшими сроками хранения и утративших практическую ценность, осуществляется комиссией в соответствии с регламентирующими документами.

На отобранные для уничтожения архивные медицинские документы, содержащие персональные данные пациентов, составляется акт об уничтожении (Приложение № 5). После написания акта комиссией производится сверка акта с учетными данными. О произведенном отборе и сверке члены комиссии расписываются в акте, после чего он утверждается руководителем НУЗ "Центральная поликлиника ОАО "РЖД".

Перед уничтожением архивных медицинских документов, содержащих персональные данные пациентов, комиссия сверяет их номера, наименования и количество с записями в акте.

В актах на уничтожение не должно быть исправлений. Второй и последующие листы акта заверяются подписью председателя комиссии. Все включенные в акт медицинские документы после сверки уничтожаются.

Архивные медицинские документы, содержащие персональные данные пациентов, уничтожаются в присутствии всех членов комиссии, которые

После уничтожения архивных медицинских документов, содержащих персональные данные пациентов, работник подразделения, ведущего их учет, производит отметки об уничтожении в соответствующих книгах и журналах учета. В актах делается отметка о списании уничтоженных носителей сведений, содержащих персональные данные, которая заверяется ответственным за их учет работником.

Одновременно с уничтожением архивных медицинских документов осуществляется уничтожение персональных данных во всех ИСПДн, где производилась их обработка и хранение.

Уничтожение персональных данных в ИСПДн производится методом обезличивания (анонимизации, деперсонификации) персональных данных.

Уничтожение персональных данных в ИСПДн производится администраторами безопасности информационных систем персональных данных, по указанию руководителя НУЗ "Центральная поликлиника ОАО "РЖД", которые фиксируются ими в акте на уничтожение архивных медицинских документов, при его утверждении. После  произведения уничтожения, администраторы безопасности ИСПДн представляют председателю комиссии письменные докладные об уничтожении персональных данных хранящихся в ИСПДн (Приложение № 6), которые прикладываются к акту.

Переписывать акт об уничтожении архивных медицинских документов, после сверки, делать отметки в журналах учета до уничтожения этих носителей и выносить акты, описи и другую документацию к месту уничтожения запрещается.

Акты об уничтожении архивных медицинских документов хранятся постоянно.

Уничтожение документальных материалов без надлежащего оформления и согласования, а также нарушение установленных «Перечнем документов со сроками хранения Министерства здравоохранения СССР, органов, учреждений, организаций, предприятий системы здравоохранения»  (утвержден приказом Министерства здравоохранения СССР от 30 мая 1974 года № 493), сроков хранения, НЕ ДОПУСКАЕТСЯ.

В случае большого количества отобранных для уничтожения архивных медицинских документов, содержащих персональные данные, их уничтожение может производиться с привлечением сторонних организаций. При этом должны выполняться следующие требования:

• уничтожение документации должно производиться в присутствии всех членов комиссии;
• уничтожение документации должно производиться без ознакомления лиц сторонней организации с ее содержанием, методом сжигания в опечатанных мешках;
• при заключении договора на выполнение работ, в нем должен быть отражен раздел о соблюдении конфиденциальности.

5. ПОРЯДОК ОТПРАВКИ (ПЕРЕДАЧИ) ДОКУМЕНТОВ, СОДЕРЖАЩИХ ПЕРСОНАЛЬНЫЕ ДАННЫЕ

Документы (носители), содержащие персональные данные субъекта, могут быть переданы оператором персональных данных непосредственно (лично) субъекту персональных данных (по его запросу) либо третьим лицам (при наличии соглашения на их передачу), с применением технических каналов передачи информации, через подразделения почтовой службы, курьером НУЗ "Центральная поликлиника ОАО "РЖД" или специальной связью.

При передаче (обработке) персональных данных по техническим каналам в соответствии со ст. 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», оператор обязан принимать необходимые организационные и технические меры, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения  персональных данных, а также от иных неправомерных действий.

При отправке (пересылке) документов (носителей), содержащих персональные данные через подразделения почтовой службы, должна быть обеспечена их конфиденциальность. Отправляемые документы, пересылаются в двойном конверте, с сопроводительным письмом. На первом конверте (внутреннем) указываются адресат и при необходимости пометка «Лично», проставляются штамп отправителя, гриф ограничения доступа к документу, подтвержденный росписью референта и печатью Организации, номер вложенного в конверт документа (документов). На конверте делается надпись о том, что содержимое конверта является конфиденциальной информацией, и за незаконное ее разглашение законодательством предусмотрена ответственность. Места склейки клапанов конверта опечатываются наклейками с оттисками печати Организации.

Внешний конверт оформляется в соответствии с почтовыми правилами  для заказных почтовых отправлений, гриф ограничения доступа на нем не проставляется во избежание излишней заинтересованности содержанием конверта в процессе его доставки до адресата.

При пересылке документов (носителей) через подразделения почтовой службы, конверты с конфиденциальными документами отправляются ценными и заказными отправлениями с составлением почтового реестра.

Отправка документов (носителей) содержащих персональные данные осуществляться специальной связью при наличии соответствующего договора.

Отправка документов (носителей) содержащих персональные данные курьерами НУЗ "Центральная поликлиника ОАО "РЖД" должна осуществляется преимущественно на служебном транспорте.

6. Объекты защиты

6.1. Организационные вопросы

Защита персональных данных субъекта от неправомерного их использования или утраты обеспечивается оператором персональных данных - НУЗ "Центральная поликлиника ОАО "РЖД".Общую организацию защиты персональных данных лиц осуществляет ответственный за организацию безопасности персональных данных, назначенный приказом руководителя НУЗ "Центральная поликлиника ОАО "РЖД".

Ответственный за организацию безопасности персональных данных отвечает за:

• ознакомление сотрудников НУЗ "Центральная поликлиника ОАО "РЖД", которые участвуют в обработке персональных данных, под  роспись с настоящим Положением, а также с другими организационно-распорядительными документами НУЗ "Центральная поликлиника ОАО "РЖД", регламентирующими обработку и защиту персональных данных;
• истребование с сотрудников письменного обязательства о соблюдении конфиденциальности персональных данных субъекта и соблюдении правил их обработки;
• общий контроль за соблюдением сотрудниками НУЗ "Центральная поликлиника ОАО "РЖД" мер по защите персональных данных субъекта.

Организацию и контроль за защитой персональных данных субъектов, в отделениях и структурных подразделениях НУЗ "Центральная поликлиника ОАО "РЖД", сотрудники которых имеют доступ к персональным данным, осуществляют их непосредственные руководители.

6.2. Объекты защиты

Защите подлежит: информация о персональных данных субъекта; документы (носители), содержащие персональные данные субъекта; персональные данные субъектов, содержащиеся в электронных базах данных информационных систем персональных данных.

Защита сведений, хранящихся в электронных базах данных информационных систем персональных данных, от несанкционированного доступа, искажения или уничтожения информации, а также от иных неправомерных действий, обеспечивается Системой защиты персональных данных.

Защита носителей персональных данных, хранящихся в медицинских архивах, отделениях и структурных подразделениях НУЗ "Центральная поликлиника ОАО"РЖД",осуществляется  рядом специальных  мер (организация пропускного режима и охраны в учреждении, контроль доступа к персональным данным и др.)

7. ПОРЯДОК ИСПОЛНЕНИЯ ЗАКОННЫХ ТРЕБОВАНИЙ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

В соответствии с Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» субъект персональных данных может потребовать от оператора, осуществляющего обработку его персональных данных, исполнения следующих требований:

• предоставления сведений об операторе персональных данных и о месте его нахождения;
• предоставления сведений о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных;
• ознакомление со своими персональными данными, находящимися у оператора;
• уточнения своих персональных данных;
• блокирования или уничтожения своих персональных данных в случае, если персональные данные являются неполными, устаревшими,  недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

Все требования, предъявляемые субъектом к оператору персональных данных оформляются им письменно, в виде заявления (аргументированного письма) в адрес руководства НУЗ "Центральная поликлиника ОАО "РЖД".

Письменные требования работников к Оператору персональных данных оформляются в виде заявления и передаются работником непосредственному руководителю отделения, структурного подразделени

Письменные требования пациентов к Оператору персональных данных оформляются пациентом в виде аргументированного письма в адрес директора НУЗ "Центральная поликлиника ОАО "РЖД" и  направляются заказными почтовыми отправлениями с обратным уведомлением о получении.

Решение об удовлетворении требований субъекта персональных данных, либо отказе ему в них принимается директором  НУЗ "Центральная поликлиника ОАО "РЖД". При этом, в случае принятия решения об отказе в удовлетворении требований субъекта, отказ должен быть законодательно аргументирован. Все принятые решения оформляются в письменном виде и передаются (направляются) субъектам персональных данных.

Все обращения субъектов персональных данных с требованиями о выполнении Оператором персональных данных его законных прав регистрируются в Журнале учета обращений субъектов персональных данных о выполнении их законных прав в области защиты персональных данных (Приложение № 8). Ведение журнала допускается в электронном виде и возлагается на ответственного за обеспечение безопасности информации в НУЗ "Центральная поликлиника ОАО "РЖД".

Иные права, обязанности и действия сотрудников НУЗ "Центральная поликлиника ОАО "РЖД", в трудовые обязанности которых входит обработка персональных данных субъектов, определяются должностными инструкциями.

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъектов, несут материальную, дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с Федеральными законами.

Разглашение персональных данных субъекта (передача их посторонним лицам, в том числе, работникам НУЗ "Центральная поликлиника ОАО "РЖД", не имеющим к ним доступа), их публичное раскрытие, утрата документов и иных носителей, содержащих персональные данные субъекта, а также иные нарушения обязанностей по их  защите и обработке, установленных настоящим Положением и организационно-распорядительными документами НУЗ "Центральная поликлиника ОАО "РЖД", влечет наложение на сотрудника, имеющего доступ к персональным данным, дисциплинарного взыскания, замечания, выговора, увольнения.

Работники НУЗ "Центральная поликлиника ОАО "РЖД", имеющие доступ к персональным данным субъектов, виновные в незаконном разглашении или использовании персональных данных лиц без согласия субъектов из корыстной или иной личной заинтересованности и причинившие крупный ущерб, несут уголовную ответственность в соответствии со ст. 183 Уголовного кодекса РФ.

Работники НУЗ "Центральная поликлиника ОАО "РЖД", имеющие доступ к персональным данным субъектов и совершившие указанный дисциплинарный проступок, несут полную материальную  ответственность в случае причинения его действиями ущерба НУЗ "Центральная поликлиника ОАО "РЖД" (п.7 ст. 243 Трудового кодекса РФ).

 

Ответственный за организацию обработки персональных данных в НУЗ "Центральная поликлиника ОАО «РЖД»   /ДемчукМ.А./

Главный врач  НУЗ "Центральная поликлиника ОАО «РЖД»____________________ /Пеннер М.В./

 

СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

 КЛИЕНТОВ-ФИЗИЧЕСКИХ ЛИЦ

Пользователь, оставляя обращение на интернет-сайте www.cprzd.ru, принимает настоящее Согласие на обработку персональных данных (далее – Согласие).

Действуя свободно, своей волей и в своем интересе, а также подтверждая свою дееспособность, в соответствии с Федеральным законом от 27.07.2006г. №152-ФЗ «О персональных данных»и иными нормативно-правовыми актами Пользователь принял решение о предоставлении своих персональных данных (далее – «ПД») и дает согласие на их обработку НУЗ «Центральная поликлиника ОАО «РЖД» (далее – «Оператор ПД»), на следующих условиях:

1. Настоящее согласие дается на обработку ПД как без использования средств автоматизации, так и с их использованием;
2. Согласие дается на обработку следующих персональных данных Пользователя:

- фамилия, имя, отчество, год, месяц, дата рождения, место рождения, адрес, паспортные данные;

- номера контактных телефонов, адреса электронной почты;

- место работы и занимаемая должность;

- семейное положение, имущественное положение, профессия, доходы, и другие категории ПД, в том числе состояние здоровья (в том числе составляющие врачебную тайну согласно ст. 13 Федерального закона от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации");

- пользовательские данные (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник, откуда пришел на сайт пользователь, с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес).

3. Персональные данные не являются общедоступными.
4. Цель обработки ПД: обработка входящих запросов физических лиц с целью консультирования, в том числе для организации оказания и/или оплаты медицинских и/или иных услуг, аналитики действий физического лица на веб-сайте и функционирования веб-сайта, проведения рекламных и новостных рассылок.
5. Основанием для обработки ПД являются: ст.24 Конституции Российской Федерации, ст.6 Федеральногозакона от 27.07.2006г. №152-ФЗ «О персональных данных», Устав ООО «Центр инновационных медицинских технологий», настоящее Согласие на обработку персональных данных.
6. В ходе обработки с ПД будут совершены следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
7. ПД обрабатываются до отказа (отписки) физического лица от рекламных и новостных рассылок. Также обработка ПД может быть прекращена по запросу субъекта ПД. Хранение ПД, зафиксированных на бумажных носителях, осуществляется согласно Федеральному закону № 125-ФЗ «Об архивном деле в Российской Федерации» и иным нормативно-правовым актам в области архивного дела и архивного хранения.
8. Согласие может быть отозвано субъектом ПД или его представителем путем направления Оператору ПД соответствующего письменного заявления по адресу: 107078, г.Москва, ул. Новая Басманная, д.5
9. В случае отзыва субъектом ПД или его представителем согласия на обработку персональных данных Оператор ПД вправе продолжить обработку ПД без согласия субъекта ПД при наличии оснований, согласно пунктам 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006г. №152-ФЗ «О персональных данных».
10. Настоящее Согласие действует до момента прекращения обработки ПД, указанного в п.7 и п.8 данного Согласия.

  

 

Центральная поликлиника ОАО "РЖД"

г. Москва, ул. Новая Басманная, д. 5