Политика конфиденциальности и условия обработки персональных данных

Приложение к приказу
от 15.06. 2017 № 15
«УТВЕРЖДАЮ»
Генеральный директор АО «Юнона»

___________Т.А. Макарова
15 июня 2017 г.

Положение о порядке обработки и хранении персональных данных

  1. Общие положения

1.1. Положение об обработке персональных данных (далее — Положение) определяет условия и порядок обработки персональных данных, которую осуществляет АО “Юнона»” (далее — центр).

1.2. Положение разработано во исполнение Политики в отношении обработки персональных данных (далее — Политика) и в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — ФЗ «О персональных данных»), а также следующими нормативными правовыми актами:

— часть вторая Гражданского Кодекса Российской Федерации от 26 января 1996 г. № 14-ФЗ (далее — часть вторая ГК РФ);

— Трудовой Кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ (далее – ТК РФ);

— часть первая Налогового Кодекса Российской Федерации от 31 июля 1998 г. № 146-ФЗ (далее — часть первая НК РФ);

— Федеральный закон «О бухгалтерском учёте» от 6 декабря 2011 г. № 402-ФЗ (далее — ФЗ «О бухгалтерском учёте»);

— постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

— постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

— Федерального закона РФ от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;

— Приказа Министерства здравоохранения и социального развития Российской Федерации от 16.08.1994 № 170 «О мерах по совершенствованию профилактики и лечения ВИЧ-инфекции в Российской Федерации»;

— Приказа Министерства здравоохранения и социального развития Российской Федерации от 12.04.2011 № 302н «Об утверждении перечней вредных и (или) опасных производственных факторов и работ, при выполнении которых проводятся обязательные предварительные и периодические медицинские осмотры (обследования) и Порядка проведения обязательных предварительных и периодических медицинских осмотров (обследований) работников, занятых на тяжелых работах и на работах с вредными и (или) опасными условиями труда»- законодательства об охране труда;

— Устава Акционерного Общества «Юнона».

— Для целей настоящего Положения применяются следующие термины и определения:

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и(или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Пациенты (субъекты персональных данных) – физические лица, обратившиеся к Учреждению-оператору с целью получения медицинского обслуживания, либо состоящие в иных гражданско-правовых отношениях с Учреждением-оператором по вопросам получения медицинских услуг.

Работники (субъекты персональных данных) – физические лица, состоящие в трудовых и иных гражданско-правовых отношениях с Учреждением-оператором.

Документы, содержащие персональные данные пациента – документы, необходимые для осуществления действий в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг, а также для оформления договорных отношений.

Документы, содержащие персональные данные работника – документы, которые работник предоставляет Учреждению-оператору (работодателю) в связи с трудовыми отношениями и касающиеся конкретного работника (субъекта персональных данных), а также другие документы, содержащие сведения, предназначенные для использования в служебных целях.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Врачебная тайна – соблюдение конфиденциальности информации о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иных сведений, полученных при его обследовании и лечении.

Обработка персональных данных пациента или работника – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных пациента или работника.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Конфиденциальность персональных данных – операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законодательством.

Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа, в том числе с использованием штатных средств, предоставляемых информационными системами персональных данных.

Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с Федеральным законодательством не распространяется требование соблюдения конфиденциальности.

  1. Цели и задачи Положения.

2.1. Целями настоящего Положения являются:

– обеспечение соответствия обработки персональных данных работников центра, пациентов центра и других лиц требованиям законодательства РФ;
– обеспечение защиты персональных данных работников центра, пациентов центра и других лиц от несанкционированного доступа, утраты, неправомерного их использования или распространения.

2.2. Задачами настоящего Положения являются:

– определение целей, принципов и условий обработки персональных данных;
– определение порядка обработки центром персональных данных;
– определение категорий персональных данных, категорий субъектов персональных данных, обрабатываемых центром;
– определение способов обработки персональных данных;
– определение прав и обязанностей центра и субъектов при обработке персональных данных.

  1. Цели, принципы и условия обработки персональных данных.

3.1. Целями обработки персональных данных в центре являются:

– обеспечение соблюдения Конституции РФ, федеральных законов, нормативно-правовых актов РФ;
– осуществление уставных задач центра.

3.2. Принципы обработки персональных данных в центре:

– законность целей и способов обработки персональных данных;
– соответствие целей обработки персональных данных целям, определенным и заявленным при сборе персональных данных, а также полномочиям центра;
– соответствие объема и характера обрабатываемых персональных данных, способов обработки;
– точность, достаточность и актуальность по отношению к целям обработки персональных данных, недопустимость обработки избыточных персональных данных по отношению к целям, заявленным при сборе персональных данных;
– недопустимость объединения центром баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

3.3. Обработка персональных данных осуществляется только должностными лицами центра, непосредственно использующими их в служебных целях.

Лица, уполномоченные на обработку персональных данных, имеют право получать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей. Все остальные работники центра имеют право на полную информацию, касающуюся только собственных персональных данных.

3.4. Обработка персональных данных осуществляется центом в следующих случаях:

– обработка персональных данных осуществляется только с согласия субъекта персональных данных;
– обработка персональных данных проводится для осуществления уставных функций центра;
– обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных;
– обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
– обработка персональных данных необходима для осуществления прав, законных интересов центра или третьих лиц, либо достижения значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
– обработка персональных данных, которые подлежат опубликованию или обязательному раскрытию в соответствии с федеральными законами.

3.5. Центром обрабатывается такая категория персональных данных – как состояние здоровья. Обработка центром данных о состоянии здоровья граждан необходима для осуществления и выполнения уставных функций центра, а также для защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных.

  1. Понятие и состав персональных данных.

Центр обрабатывает персональные данные следующих категорий субъектов:

– работников центра;
– пациентов центра.

4.1. Персональные данные работника – информация, необходимая работодателю в связи с трудовыми отношениями и касающиеся конкретного работника. Под информацией о работниках понимаются сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность

4.1.1. В состав персональных данных работника входят:

– анкетные и биографические данные;
– образование;
– сведения о трудовом и общем стаже;
– сведения о составе семьи;
– паспортные данные;
– сведения о воинском учете;
– сведения о заработной плате сотрудника;
– сведения о социальных льготах;
– специальность;
– занимаемая должность;
– наличие судимостей;
– адрес места жительства;
– домашний телефон;
– место работы или учебы членов семьи и родственников;
– характер взаимоотношений в семье;
– содержание трудового договора;
– состав декларируемых сведений о наличии материальных ценностей;
– содержание декларации, подаваемой в налоговую инспекцию;
– подлинники и копии приказов по личному составу;
– личные дела и трудовые книжки сотрудников;
– основания к приказам по личному составу;
– дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
– копии отчетов, направляемые в органы статистики.

4.2. Под персональными данными Пациентов – понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе:

– фамилия,
– имя,
– отчество,
– пол,
– год, месяц, дата и место рождения,
– адрес места жительства,
– контактные телефоны,
– реквизиты полиса (ДМС),
– паспортные данные,
– данные о состоянии здоровья, заболеваниях, случаях обращения за медицинской помощью.

Данные сведения являются конфиденциальными. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении срока хранения, если иное не определено законом.

4.3. Информация о персональных данных может содержаться:

– на бумажных носителях;
– на электронных носителях;
– в информационных системах персональных данных;
– в информационно телекоммуникационных сетях и иных информационных системах.

  1. Получение персональных данных .

5.1. Получение персональных данных преимущественно осуществляется путем представления их самим пациентом или работником, на основании его письменного согласия, за исключением случаев прямо предусмотренных действующим законодательством РФ.

5.2. В случаях, предусмотренных Федеральным законодательством, обработка персональных данных осуществляется только с согласия пациента и работника в письменной форме. Равнозначным содержащему собственноручную подпись пациента и работника согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с Федеральным законом № 152-ФЗ электронной подписью. Согласие пациента и работника в письменной форме на обработку его персональных данных должно включать в себя, в частности:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес Учреждения-оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Учреждения-оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Учреждением-оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено Федеральным законодательством;
9) подпись субъекта персональных данных.

Для обработки персональных данных, содержащихся в согласии в письменной форме пациента и работника на обработку его персональных данных, дополнительное согласие не требуется.

5.3. В случае необходимости проверки персональных данных пациента или работника заблаговременно должно сообщить об этом пациенту или работнику, о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа пациента или работника дать письменное согласие на их получение.

  1. Организация обработки персональных данных

6.1. Все персональные данные субъекта следует получать у него самого. Информация о персональных данных субъекта предоставляется субъектом устно, либо путем заполнения личных карточек формы Т-2 для работников (медицинских карт для пациентов), которые хранятся в личном деле в отделе кадров (регистратуре/архиве). Если персональные данные субъекта возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом и от него должно быть получено письменное согласие (либо письменный отказ). В письменном уведомлении центр должен сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных (например, оформление запроса в медицинское учреждение о прохождении обследования и лечения и т.п.) и последствиях отказа субъекта дать письменное согласие на их получение.

6.2 Центр не имеет права получать и обрабатывать персональные данные субъекта о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях.

6.3. Этапность получения и обработки персональных данных пациента.

6.3.1 При первичном посещении клиники пациента информация заносится в базу данных в регистратуре. На этом этапе регистратор отмечает паспортные данные, контактный телефон, Ф.И.О специалиста к которому желает попасть пациент. Заполняется амбулаторная карта в которой фиксируются выше перечисленные персональные данные пациента.
Информация о пациенте хранится как на электронном, так и на бумажном носителе информации о персональных данных. Медицинский регистратор/администратор не вправе получать информацию о состоянии здоровья пациента. Ответственным на данном этапе хранения персональных данных является  регистратор фиксирующий персональные данные.

6.3.2 После этого бумажный носитель передается врачу. Врач собирает информацию о состоянии здоровья пациента, фиксирует на бумажный носитель, передает в регистратуру. Ответственным за неразглашения информации о состоянии здоровья является врач. При передаче персональных данных пациента врач должен соблюдать следующие требования:

– не сообщать персональные данные третьей стороне без письменного согласия пациента, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью пациента, а также в случаях, установленных федеральным законом;
– не сообщать персональные данные пациента в коммерческих целях без его письменного согласия;
– предупредить лиц, получающих персональные данные пациента, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные пациента, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными пациента в порядке, установленном федеральными законами;
– разрешать доступ к персональным данным пациента только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные пациента, которые необходимы для выполнения конкретных функций;

6.3.3. После получения медицинских услуг носитель содержащий персональные данные о состоянии здоровья, диагнозе, проведенном лечении и рекомендациях хранится в архиве. Выдача персональных данных содержащих информацию о состоянии здоровья выдается ответственным лицом, с фиксацией выдачи в журнале.

6.3.4. Все меры конфиденциальности при сборе, обработке и хранении персональных данных пациента распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

6.3.5. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.

6.3.6. С работниками, ответственными за хранение персональных данных, а также с работниками, владеющими персональными данными в силу своих должностных обязанностей, заключаются Соглашения о неразглашении персональных данных (Приложение № 2). Экземпляр Соглашения хранится в отделе кадров.

6.3.7. Автоматизированная обработка и хранение персональных данных пациентов допускаются только после выполнения всех основных мероприятий по защите информации.

6.3.8. Помещения, в которых хранятся персональные данные пациента, должны быть оборудованы надежными замками и сигнализацией на вскрытие помещений.

6.3.9. Проведение уборки помещения должно производиться в присутствии ответственного лица.

6.4. Запрещается требовать от лица, поступающего на работу в центр, документы помимо предусмотренных Трудовым кодексом РФ, иными федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации.

6.5 Персональные данные субъектов хранятся в электронных базах данных и на бумажных носителях в помещении отдела кадров (регистратуре). Для этого используются специально оборудованные шкафы и сейфы. Личные дела уволенных (прошедших обследование, лечение) субъектов хранятся в архиве .

6.6 В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, электронные базы). В общедоступные источники персональных данных могут включаться фамилия, имя, отчество, должность, подразделение, служебные телефоны и адрес электронной почты.

6.7 Сведения о начислении и выплате заработной платы работникам Учреждения хранятся в электронных базах данных и на бумажных носителях в помещении бухгалтерии. По истечении сроков хранения, установленных законодательством РФ, данные сведения передаются в архив .

6.8 Конкретные обязанности по ведению, хранению личных дел субъектов, заполнению, хранению и выдаче трудовых книжек, иных документов, отражающих персональные данные субъектов, возлагается на работников отдела кадров и регистратуры.

6.9 Персональные данные пациентов хранятся в электронных базах данных, которые могут быть подключены к локальной сети организации, а так же на бумажных носителях.

6.10 Доступ к электронным базам данных ограничен паролем. Возможна передача персональных данных пациентов между структурными подразделениями с использованием учтенных съемных носителей с использованием технических и программных средств защиты информации, с доступом только для работников центра, допущенных к работе с персональными данными пациентов с разрешения Главного врача и только в объеме, необходимом данным работникам для выполнения ими своих должностных обязанностей.

6.11 Бумажными носителями персональных данных являются:

– медицинская карта амбулаторного больного, которая заводится на каждого обратившегося в центр за оказанием медицинском помощи при первом обращении и хранится в регистратуре центра. Медицинская карта передается врачам-специалистам центра при личном обращении пациента в центр, по окончании приема медицинская карта сдается  врачом-специалистом в регистратуру центра;
– журналы и другие формы медицинской документации, содержащие персональные данные пациентов, оформляются и хранятся в регистратуре, кабинетах врачей центра в соответствии с требованиями действующих приказов.
– прочие документы, используемые при оказании медицинской помощи и содержащие персональные данные пациентов (акты, направления, договоры, квитанции и пр.), после оформления передаются работнику, допущенному к работе с персональными данными, в должностные обязанности которого входит обработка этих данных.

Хранение оконченных производством документов, содержащих персональные данные пациентов, осуществляется в архиве .

6.12 Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.

6.13 При получении сведений, составляющих персональные данные субъектов заинтересованные лица имеют право получать только те персональные данные, которые необходимы для выполнения конкретных функций и заданий

6.14 Хранение персональных данных в центре:

Хранение текущей документации и оконченной производством документации, содержащей персональные данные пациентов и работников центра, осуществляется во внутренних подразделениях центра, а также в помещениях, предназначенных для хранения отработанной документации.

Ответственные лица за хранение документов, содержащих персональные данные пациентов и работников, назначены Приказом Генерального директора.

Хранение персональных данных пациентов и работников осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

Хранение документов, содержащих персональные данные пациентов и работников, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. По истечении установленных сроков хранения документы подлежат уничтожению.

  1. Обеспечение безопасности персональных данных

7.1. Работники, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять их без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

7.2. В целях защиты персональных данных от неправомерных действий (в частности, неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения) центром применяется комплекс правовых, организационных и технических мер по обеспечению безопасности персональных данных, составляющий систему защиты персональных данных.

7.3. Применение комплекса мер по обеспечению безопасности персональных данных обеспечивает установленный уровень защищенности персональных данных при их обработке в информационной системе центра.

7.4. В целях обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, Оператором назначается ответственный за обеспечение безопасности персональных данных в информационной системе.

7.5. Ответственный за обеспечение безопасности персональных данных в информационной системе обязан:

— ежегодно выполнять определение угроз безопасности персональных данных при их обработке в информационной системе центра;
— обеспечивать реализацию организационных и технических мер по обеспечению безопасности персональных данных и применение средств защиты информации, необходимых для достижения установленного уровня защищенности персональных данных при обработке в информационной системе центра;
— устанавливать правила доступа к персональным данным, обрабатываемым в информационной системе центра, а также обеспечивать регистрацию и учёт всех действий с ними;
— организовывать обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по реагированию, включая восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
— ежегодно осуществлять внутренний контроль за обеспечением установленного уровня защищённости персональных данных при обработке в информационной системе центра.

  1. Осуществление прав субъектов персональных данных

8.1.Субъекты персональных данных имеют право на:

 получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, способах их обработки, а также на ознакомление с такими персональными данными, за исключением случаев, когда предоставление персональных данных нарушает конституционные права и свободы других лиц;
 требование уточнения своих персональных данных, их блокирования или уничтожения, в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
 свободный, бесплатный доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных федеральным законом;
 требование об извещении всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта обо всех произведенных в них исключениях, исправлениях или дополнениях;
 определение своих представителей для защиты своих персональных данных;
 обжалование в суд любых неправомерных действий или бездействий при обработке и защите персональных данных;
 доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору.

8.2. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

8.3. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя.

Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.

8.4. Субъект персональных данных имеет право на получение при обращении или по запросу информации, касающейся обработки его персональных данных, в том числе содержащей:

 подтверждение факта обработки персональных данных оператором, а также цель такой обработки;
 способы обработки персональных данных, применяемые оператором;
 сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
 перечень обрабатываемых персональных данных и источник их получения;
 сроки обработки персональных данных, в том числе сроки их хранения;
 сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

8.5. При отказе Учреждения исключить или исправить персональные данные субъекта он имеет право заявить в письменной форме оператору о своем несогласии с соответствующим обоснованием такого несогласия.

8.6. Субъект персональных данных имеет право отозвать свое согласие на обработку персональных данных, направив в учреждение заявление (приложение 2). В случае получения письменного заявления об отзыве согласия на обработку персональных данных, Оператор обязан прекратить их обработку.

  1. Доступ к персональным данным пациента

9.1. Право доступа к персональным данным пациента имеют:

– главный врач;
– сам пациент, носитель данных;
– другие сотрудники организации, которые имеют доступ к персональным данным пациента только с письменного согласия самого пациента, носителя данных, либо определенные приказом генерального директора центра.

9.2. Внешний доступ.

9.2.1. К числу массовых потребителей персональных данных вне Клиники можно отнести государственные и негосударственные функциональные структуры:

– налоговые инспекции;
– правоохранительные органы;
– органы статистики;
– страховые агентства;
– военкоматы;
– органы социального страхования;
– пенсионные фонды;
– подразделения муниципальных органов управления.

9.2.2. Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.

9.2.3. Сведения о пациенте могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением копии нотариально заверенного заявления пациента.

9.2.4. Персональные данные пациента могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого пациента

  1. Взаимодействие с Роскомнадзором

10.1. По запросу Роскомнадзора  Ответственный, назначенный приказом Генерального директора  центра (далее – ответственный) организует предоставление локальных актов в отношении обработки персональных данных и документов, подтверждающих принятие мер по выполнению требований ФЗ «О персональных данных», в течение 30 дней с даты получения запроса.

10.2. По требованию Роскомнадзора Ответственный организует уточнение, блокирование или уничтожение недостоверных или полученных незаконным путем персональных данных в течение 30 дней с даты получения требования.

10.3. В случаях, предусмотренных ст. 22 ФЗ «О персональных данных», Ответственный направляет в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных.

10.4. В случае необходимости Ответственный направляет в Роскомнадзор обращения по вопросам обработки персональных данных, осуществляемой

  1. Ответственность за нарушение порядка обработки и обеспечения безопасности персональных данных

11.1. В случае нарушения работником положений законодательства в области персональных данных он может быть привлечён к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном ТК РФ и иными федеральными законами, в соответствии с ч. 1 ст. 24 ФЗ «О персональных данных» и ст. 90 ТК РФ.

11.2. В случае разглашения работником персональных данных, ставших ему известными в связи с исполнением его трудовых обязанностей, трудовой договор с ним может быть расторгнут в соответствии с пп. «в» п. 6 ст. 81 ТК РФ.

Приложение 2
(к Положению  об обработке и хранении персональных данных)

Разъяснение юридических последствий отказа предоставить персональные данные

Мне,_______________________________________________________, в соответствии с ч. 2 ст. 18 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» разъяснены юридические последствия моего отказа предоставить свои персональные данные в АО “Юнона».

Я предупрежден(а), что без предоставления моих персональных данных в АО “Юнона”, обязательных для заключения трудового договора согласно ст. 57 и 65 Трудового кодекса Российской Федерации, трудовой договор не может быть заключен.

Мне известно, что на основании п. 11 ч. 1 ст. 77 Трудового кодекса Российской Федерации трудовой договор прекращается вследствие нарушения установленных обязательных правил его заключения, если это нарушение исключает возможность продолжения работы.

 

Подпись _______________  Дата__________________

Приложение №3
(к Положению о порядке Обработки и хранении персональных данных субъектов)

Соглашение о неразглашении персональных данных субъектов
АО «Юнона »

Я, _____________________________________________________________________, работая в должности ______________________________________ в АО «Юнона», обязуюсь не разглашать полученные при исполнении мной трудовых обязанностей сведения, касающиеся персональных данных субъектов (сотрудников, пациентов) АО «Юнона». Я понимаю, что разглашение такого рода информации может нанести ущерб сотрудникам АО «Юнона» и пациентам.

В связи с этим, даю обязательство, при работе с персональными данными соблюдать требования, описанные в «Положении о порядке обработки персональных данных АО «Юнона» и других документов АО «Юнона», регламентирующих обработку и защиту персональных данных.

В случае попытки посторонних лиц получить от меня сведения, составляющие персональные данные субъектов, обязуюсь немедленно сообщить руководству АО «Юнона»

Я подтверждаю, что не имею права разглашать сведения:

 анкетные и биографические данные;
 образование;
 сведения о трудовом и общем стаже;
 сведения о составе семьи;
 паспортные данные;
 сведения о воинском учете;
 сведения о здоровье;
 сведения о заработной плате субъекта;
 занимаемая должность;
 адрес места жительства;
 домашний телефон;
 подлинники и копии приказов по личному составу;
 личные дела и трудовые книжки сотрудников;
 основания к приказам по личному составу;
 дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
 копии отчетов, направляемые в органы статистики;
 ИНН, ИФНС, номер страхового свидетельства государственного пенсионного страхования;
 сведения, составляющие врачебную тайну;
 другие персональные данные.

Я предупрежден(а) о том, что в случае разглашения или утраты мною сведений, касающихся персональных данных субъектов, я несу ответственность в соответствии с законодательством Российской Федерации и внутренними документами АО «Юнона»

 

С «Положением о порядке обработки персональных данных субъектов АО «Юнона» ознакомлен (а).

_________________ _____________________
Дата                   Подпись

Приложение № 4   
к Положению о порядке обработки и хранении персональных данных субъектов

АО «Юнона»
от «___» ____________ 2017__ г.

 

Отзыв согласия на обработку персональных данных

_______________________________________________________________________________
Ф.И.О. субъекта персональных данных

_______________________________________________________________________________
Адрес, где зарегистрирован субъект персональных данных

_______________________________________________________________________________
Номер основного документа, удостоверяющего его личность

_______________________________________________________________________________
Дата выдачи указанного документа

_______________________________________________________________________________
Наименование органа, выдавшего документ

Прошу Вас прекратить обработку моих персональных данных в связи с

_______________________________________________________________________________
(указать причину)

“___”____________ 20__ г. _________ _____________________
(подпись)                                 (расшифровка подписи)__