ГБУЗ СО

Политика в отношении обработки персональных данных

Приложение

к приказу ГБУЗ СО «Сергиевская ЦРБ»

от ____09.06.2014_____ № _193__

 

 

ПОЛИТИКА

в отношении обработки персональных данных государственного бюджетного учреждения здравоохранения Самарской области «Сергиевская ЦРБ»

 

  1. 1.     Общие положения

1.1.         Настоящая Политика в отношении обработки персональных данных ГБУЗ СО «Сергиевская ЦРБ» (далее - Политика) составлена в соответствии с ч.2 ст.18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и действует в отношении персональных данных, которые обрабатываются в ГБУЗ СО «Сергиевская ЦРБ».

1.2.         Основные понятия, используемые в Политике:

персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

1.3.         Обработка персональных данных в ГБУЗ СО «Сергиевская ЦРБ» основана на следующих принципах:

  • осуществления на законной и справедливой основе;
  • соответствия целей обработки персональных данных полномочиям ГБУЗ СО «Сергиевская ЦРБ»;
  • соответствия содержания и объема обрабатываемых персональных данных целям обработки персональных данных;
  • достоверности персональных данных, их актуальности и достаточности для целей обработки, недопустимости обработки избыточных по отношению к целям сбора персональных данных;
  • ограничения обработки персональных данных при достижении конкретных и законных целей, запретом обработки персональных данных, несовместимых с целями сбора персональных данных;
  • запрета объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • осуществления хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен действующим законодательством. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.

1.4.         В соответствии с принципами обработки персональных данных определены цели обработки персональных данных:

  • для оказания медицинской помощи и медицинских услуг;
  • формирование медицинской карты пациента (в т.ч. в электронном виде);
  • для исполнения условий трудового договора и осуществления прав и обязанностей в соответствии с трудовым законодательством;
  • для принятия решения о трудоустройстве;
  • для принятия решений по обращениям граждан Российской Федерации в соответствии с законодательством;
  • для исполнения обязанностей по гражданско-правовому договору с ГБУЗ СО «Сергиевская ЦРБ»;
  • для исполнения нормативных правовых актов Российской Федерации и субъекта Российской Федерации;
  • для исполнения приказов и распоряжений министерства здравоохранения Самарской области;
  • для исполнения уставных задач ГБУЗ СО «Сергиевская ЦРБ».

1.5.         ГБУЗ СО «Сергиевская ЦРБ» обрабатывает персональные данные, которые может получить от следующих субъектов персональных данных:

  • граждан, которым оказывается медицинская помощь или медицинские услуги, и (или) их законных представителей;
  • граждан, состоящих с ГБУЗ СО «Сергиевская ЦРБ» в отношениях, регулируемых трудовым законодательством;
  • граждан, являющихся стороной гражданско-правового договора с ГБУЗ СО «Сергиевская ЦРБ».

1.6.         ГБУЗ СО «Сергиевская ЦРБ» обрабатывает персональные данные, которые может получить от субъекта персональных данных, медицинских учреждений Самарской области, МИАЦ, ТФОМС, Министерства здравоохранения Самарской области в целях исполнения уставных задач ГБУЗ СО «Сергиевская ЦРБ».

1.7.         Срок хранения персональных данных субъекта персональных данных определяется в соответствии с действующим законодательством и иными нормативными правовыми документами.

 

  1. 2.     Особенности обработки персональных данных и их передачи третьим лицам

2.1.         При обработке персональных данных ГБУЗ СО «Сергиевская ЦРБ» руководствуется Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Положением о порядке организации обработки и обеспечения безопасности персональных данных в ГБУЗ СО «Сергиевская ЦРБ», утвержденным приказом ГБУЗ СО «Сергиевская ЦРБ» от ___ _____________ ______ № ________, и настоящей Политикой.

2.2.         ГБУЗ СО «Сергиевская ЦРБ» вправе передать персональные данные третьим лицам в следующих случаях:

  • субъект персональных данных выразил свое согласие на такие действия в любой позволяющей подтвердить факт его получения форме;
  • передача предусмотрена законодательством Российской Федерации.

2.3.         Субъект персональных данных обладает правами, предусмотренными Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных».

2.4.         В случаях, когда ГБУЗ СО «Сергиевская ЦРБ» поручает обработку персональных данных третьему лицу, существенным условием такого договора (соглашения, контракта) является обязанность указанного лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке.

 

  1. 3.     Меры, применяемые для защиты персональных данных

3.1.         ГБУЗ СО «Сергиевская ЦРБ» принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных субъектов персональных данных. К таким мерам, в частности, относятся:

  • назначение сотрудника, ответственного за организацию обработки персональных данных;
  • осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями действующего законодательства о персональных данных, требованиям к защите персональных данных и иными документами по вопросам обработки персональных данных;
  • определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  • применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;
  • осуществление оценки эффективности принимаемых мер по обеспечению безопасности персональных данных;
  • осуществление учета машинных носителей персональных данных;
  • установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных;
  • осуществление контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;
  • разработка локальных документов по вопросам обработки персональных данных;
  • идентификация и аутентификация субъектов доступа и объектов доступа;
  • управление доступом субъектов доступа к объектам доступа;
  • ограничение программной среды;
  • защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);
  • регистрация событий безопасности;
  • антивирусная защита;
  • обнаружение (предотвращение) вторжений;
  • контроль (анализ) защищенности персональных данных;
  • обеспечение целостности информационной системы и персональных данных;
  • обеспечение доступности персональных данных;
  • защита среды виртуализации;
  • защита технических средств;
  • защита информационной системы, ее средств, систем связи и передачи данных;
  • выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них;
  • управление конфигурацией информационной системы и системы защиты персональных данных.

 

 

seo

seo

seo