Политика в отношении обработки персональных данных
1. Назначение и область применения
Настоящая политика определяет политику оператора в отношении обработки персональных данных.
Требования настоящей политики распространяются на все подразделения Государственного автономного учреждения здравоохранения «Детская городская клиническая больница» г. Оренбурга(далее - Учреждение) и все компоненты информационной инфраструктуры Учреждения.
2. Порядок пересмотра и обновления настоящей политики
Настоящую политику необходимо пересматривать и при необходимости вносить в нее изменения один раз в два года или в случае существенных изменений в информационной инфраструктуре или организационной структуре Учреждения, а также в случае инцидентов информационной безопасности, способных повлиять на процесс, описанный в политике.
3. Термины и определения
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
4. Принятые сокращения
Сокращение | Расшифровка |
ИБ | Информационная безопасность |
ПД | Персональные данные |
ИС | Информационная система |
ИСПДн | Информационная система персональных данных |
ПО | Программное обеспечение |
5. Общие положения
Цель данной Политики - определение порядка обработки персональных данных работников иклиентов Учреждения, персональные данные которых подлежат обработке, на основании своих полномочий; обеспечение защиты прав и свобод человека и гражданина, при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
6. Нормативные документы
Положения данной политики регламентируются:
- Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
- постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- постановление Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- руководящими документами ФСТЭК/ФСБ.
- иными нормативно-правовыми актами, действующими на территории Российской Федерации.
7. Обработка ПД
Цели обработки:
- определение порядка обработки:
- персональных данных сотрудников
- персональных данных клиентов
- обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну,
- установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
Тип обработки - смешанная.
Способы обработки персональных данных:
- Сотрудников:
Сотрудник Учреждения предоставляет сотруднику, ответственному за ведение кадровой работы достоверные сведения о себе. Сотрудник, ответственный за ведение кадровой работы проверяет достоверность сведений, сверяя предоставленные данные с имеющимися документами. Полученные от сотрудников персональные данные заносятся в личные дела сотрудников и базы данных ИСПДн (например, «1С: Предприятие»).
- Клиентов:
В Учреждении не выделены ИСПДн, которые обрабатывают данные клиентов это. Их данные обрабатываются без средств автоматизации (например, журнал посещений). В этих ИСПДн ведется учет и регистрация клиентов в порядке установленном вышестоящими Учреждениями с некоторых ИСПДн по мере необходимости происходит выгрузка и передача данных, как по средствам сетей связи, НЖМД и на бумажных носителях. В процессе деятельности Учреждения в рассматриваемых ИСПДн могут появляться рабочие документы, содержащие персональные данные клиентов, относящиеся к процессу деятельности Учреждения, а также журналы учета, цель ведения которых и содержание определяют Приказы Министерства здравоохранения РФ, данные документы хранятся и обрабатываются в соответствии с правилами обработки и хранения персональных данных на бумажных носителях при их неавтоматизированной обработке Внутренними приказами определены ответственные за ведение и хранения таких журналов. Для получения и рассмотрения запросов от субъектов ПДн в Учреждении ведётся журнал учета обращений субъектов.
8. Требования к защите ПД
Доступ к персональным данным имеет определенный перечень сотрудников Учреждения, допущенных к обработке, список таких лиц утверждает главный врач.
Персональные данные, обрабатываемые без средств автоматизации, хранятся в специально отведенных для этого шкафах и сейфах.
Персональные данные, обрабатываемые в информационных системах, для них обеспечивается парольная, антивирусная защита, в Учреждении существует организационно-распорядительная документация, обеспечивающая организационные меры защиты, определены ответственные лица за обеспечение безопасности в Учреждении,утверждены места хранения ПДн.
9. Ответственность
Ответственность за проведение мероприятий по защите ПД и контроль над выполнением требований данной политики возлагается на главного врача Учреждения.