Защита персональных данных / Шәхси мәгълүматларны яклау
Федеральный закон о персональных данных №152 - ФЗ
Согласие сотрудников на обработку персональных данных
Положение по обработке персональных данных в ГАУЗ "ВФД"
«УТВЕРЖДАЮ»:
Главный врач
______________(Р.З.Ахметзянов)
«______»_______________2019 г.
ПОЛОЖЕНИЕ
По обработке и защите персональных данных в
ГАУЗ Врачебно-физкультурный диспансер г. Набережные Челны
1. Общие положения
1.1. Настоящее Положение по обработке персональных данных (далее – Положение) ГАУЗ «Врачебно-физкультурный диспансер» разработано в соответствии с:
- Федеральным законом Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
- Трудовым кодексом Российской Федерации (от 30.12.2001 № 197-ФЗ):
- Федеральным законом Российской Федерации от 20 февраля 1995 года № 24-ФЗ «Об информации, информатизации и защите информации»
- Федеральным законом Российской Федерации от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Гражданским кодексом Российской Федерации.
1.2. Цель разработки Положения – определение порядка обработки персональных данных относящихся к специальным категориям персональных данных, персональных данных работников и иных субъектов персональных данных, персональные данные которых подлежат обработке, на основании своих полномочий; обеспечение защиты прав и свобод человека и гражданина, в т.ч. работника, при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
1.3. Порядок ввода в действие и изменения Положения.
1.3.1. Настоящее Положение вступает в силу с момента его утверждения главным врачом.
1.3.2. Все изменения в Положение вносятся приказом.
1.4. Все работники ГАУЗ «Врачебно-физкультурный диспансер», участвующие в обработке персональных данных, должны быть ознакомлены с настоящим Положением
1.5. Режим конфиденциальности персональных данных снимается в случае прекращение деятельности организации, а также в случае их обезличивания и по истечении 75 лет срока их хранения, или продлевается на основании заключения экспертной комиссии учреждения, если иное не определено законом.
2. Основные понятия
2.1. Для целей настоящего Положения используются следующие основные понятия:
Персональные данные субъекта – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, паспортные данные, ИНН, номер страхового свидетельства, домашний номер телефона, номер мобильного телефона, материалы видео и фото-съемки и другая информация, необходимая для обработки персональных данных;
Оператор – государственный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
Обработка персональных данных – сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных субъектов в документальной и электронной форме;
Конфиденциальность персональных данных – обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным субъектов, требование не допускать их распространения без согласия субъекта или иного законного основания;
Распространение персональных данных – действия, направленные на передачу персональных данных субъектов определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных субъектов в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным лиц каким-либо иным способом;
Использование персональных данных – действия (операции) с персональными данными, совершаемые должностным лицом ГАУЗ «Врачебно-физкультурный диспансер» в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъектов либо иным образом затрагивающих их права и свободы или права и свободы других лиц;
Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных субъектов, в том числе их передачи;
Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных физических лиц или в результате которых уничтожаются материальные носители персональных данных субъектов;
Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта или на которые в соответствии с Федеральными законами не распространяется требование соблюдения конфиденциальности;
3. Состав персональных данных
3.1. В состав персональных данных входят:
- персональные данные работников;
- специальные категории персональных данных.
3.2 Персональные данные работников:
3.2.1. В состав персональных данных работников входят сведения, содержащие информацию о паспортных данных, образовании, отношении к воинской обязанности, семейном положении, месте жительства, а также о предыдущих местах их работы.
3.2.2. Комплекс документов, сопровождающий процесс оформления трудовых отношений работника в ГАУЗ «Врачебно-физкультурный диспансер» , при его приеме, переводе, увольнении.
3.2.2.1. Информация, представляемая работником при поступлении на работу ГАУЗ «Врачебно-физкультурный диспансер», должна иметь документальную форму. При заключении трудового договора в соответствии со статьей 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:
- паспорт или иной документ, удостоверяющий личность;
- трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;
- страховое свидетельство государственного пенсионного страхования;
- документы воинского учета – для военнообязанных и лиц, подлежащих воинскому учету;
- документ об образовании, о квалификации или наличии специальных знаний – при поступлении на работу, требующую специальных знаний или специальной подготовки;
- свидетельство о присвоении ИНН (при его наличии у работника).
3.2.2.2. При оформлении работника в ГАУЗ «Врачебно-физкультурный диспансер» специалистом отдела кадров, заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:
- общие сведения (Ф.И.О. работника, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);
- сведения о воинском учете;
- данные о приеме на работу;
В дальнейшем в личную карточку вносятся:
- сведения о переводах на другую работу;
- сведения об аттестации;
- сведения о повышении квалификации;
- сведения о профессиональной переподготовке;
- сведения о наградах (поощрениях), почетных званиях;
- сведения об отпусках;
- сведения о социальных гарантиях;
- сведения о месте жительства и контактных телефонах.
3.2.2.3. В отделе кадров ГАУЗ «Врачебно-физкультурный диспансер» создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде:
- документы, содержащие персональные данные работников (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; комплекс материалов по анкетированию, тестированию; проведению собеседований с кандидатом на должность; подлинники и копии приказов по личному составу; личные дела и трудовые книжки работников; дела, содержащие основания к приказу по личному составу; дела, содержащие материалы аттестации работников; служебных расследований; справочно-информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству ГАУЗ «Врачебно-физкультурный диспансер», руководителям обособленных и структурных подразделений; копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения).
- документация по организации работы структурных подразделений (положения о структурных подразделениях, должностные инструкции работников, приказы, распоряжения, указания руководства ГАУЗ «Врачебно-физкультурный диспансер» ; документы по планированию, учету, анализу и отчетности в части работы с персоналом ГАУЗ «Врачебно-физкультурный диспансер» .
3.3 Специальные категории персональных данных:
3.3.1. В состав специальных категорий персональных данных входят сведения, содержащие информацию о состоянии здоровья субъекта персональных данных, в связи с выполнением медицинских видов деятельности.
3.3.2. Комплект документов, сопровождающий процесс получения сведений содержащих специальные категории персональных данных.
4. Обработка персональных данных
4.1. Обработка персональных данных работников:
4.1.1. Обработка персональных данных работника – получение, хранение, комбинирование, передача или любое другое использование персональных данных физического лица. Обработка персональных данных работника осуществляется для обеспечения соблюдения законов и иных нормативных правовых актов, предусмотренными законодательством РФ и внутренними документами ГАУЗ «Врачебно-физкультурный диспансер».
4.1.2. ГАУЗ «Врачебно-физкультурный диспансер» не имеет права получать и обрабатывать персональные данные работника о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации ГАУЗ «Врачебно-физкультурный диспансер» вправе получать и обрабатывать данные о частной жизни сотрудника только с его письменного согласия. ГАУЗ «Врачебно-физкультурный диспансер» не имеет права получать и обрабатывать персональные данные работника о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных Федеральным законом. При принятии решений, затрагивающих интересы субъекта, ГАУЗ «Врачебно-физкультурный диспансер» не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
4.1.3. На основании норм Трудового кодекса РФ (ст. 86), а также исходя из положений п. 2 ст. 6 Федерального закона Российской Федерации "О персональных данных", обработка персональных данных в ГАУЗ «Врачебно-физкультурный диспансер» осуществляется без письменного согласия субъекта, за исключением случаев, предусмотренных федеральным законом.
4.1.4. Получение персональных данных работников:
4.1.4.1. Работник обязан предоставлять в ГАУЗ «Врачебно-физкультурный диспансер» достоверные сведения о себе и своевременно сообщать ему об изменении своих персональных данных. Специалист по персоналу проверяет достоверность сведений, предоставленных работником, сверяя данные, предоставленные работником, с имеющимися документами.
4.1.4.2. В случаях, когда ГАУЗ «Врачебно-физкультурный диспансер» может получить необходимые персональные данные работника только у третьей стороны, ГАУЗ «Врачебно-физкультурный диспансер» должен уведомить об этом субъекта и получить от него письменное согласие по установленной форме (Приложение № 1). ГАУЗ «Врачебно-физкультурный диспансер» обязан сообщить субъекту о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение.
4.1.5. Хранение персональных данных работников:
4.1.5.1 Персональные данные работников хранятся в отделе кадров ГАУЗ «Врачебно-физкультурный диспансер» . Личные дела работников хранятся в электронном и бумажном виде.
4.1.5.2. Работник ГАУЗ «Врачебно-физкультурный диспансер», имеющий доступ к персональным данным работников в связи с исполнением трудовых обязанностей:
- обеспечивает хранение информации, содержащей персональные данные работника, исключающее доступ к ним третьих лиц;
- при уходе в отпуск, служебной командировке и иных случаях длительного отсутствия на своем рабочем месте, сотрудник обязан передать документы и иные носители, содержащие персональные данные работников лицу, на которое локальным актом ГАУЗ «Врачебно-физкультурный диспансер» (приказом, распоряжением) будет возложено исполнение его трудовых обязанностей.
При увольнении сотрудника, имеющего доступ к персональным данным работников, документы и иные носители, содержащие персональные данные работников, передаются другому работнику, имеющему доступ к персональным данным работников по указанию руководителя структурного подразделения.
4.1.6. Использование (доступ, передача, комбинирование и т.д.) персональных данных работников:
4.1.6.1. Доступ к персональным данным работников имеют сотрудники ГАУЗ «Врачебно-физкультурный диспансер» , которым персональные данные необходимы в связи с исполнением ими трудовых обязанностей. Перечень сотрудников имеющих доступ к персональным данным работников утверждается ГАУЗ «Врачебно-физкультурный диспансер» .
В целях выполнения порученного задания и на основании служебной записки с положительной резолюцией главного врача ГАУЗ «Врачебно-физкультурный диспансер» , доступ к персональным данным работников может быть предоставлен иному работнику, который не включен в приказ о назначении ответственных работников для доступа к персональным данным работника, и которым они необходимы в связи с исполнением трудовых обязанностей.
В исключительных случаях, исходя из договорных отношений с контрагентом, допускается наличие в договорах пунктов о неразглашении конфиденциальной информации, в том числе предусматривающих защиту персональных данных работника.
4.1.6.2. Работники ГАУЗ «Врачебно-физкультурный диспансер» имеющие доступ к персональным данным работников, имеют право получать только те персональные данные работников, которые необходимы им для выполнения конкретных трудовых функций.
4.1.6.5. Доступ к персональным данным работников без специального разрешения имеют сотрудники, занимающие в медучреждении следующие должности:
- Главный врач ГАУЗ «Врачебно-физкультурный диспансер» ;
- главный бухгалтер;
- специалист отдела кадров;
- программист.
4.1.6.6. Допуск к персональным данным работников других сотрудников ГАУЗ «Врачебно-физкультурный диспансер» , не имеющих надлежащим образом оформленного доступа, запрещается.
4.1.6.7. Специалист отдела кадров вправе передавать персональные данные сотрудника в бухгалтерию и иные обособленные подразделения, в случае необходимости исполнения работниками соответствующих обособленных подразделений своих трудовых обязанностей.
При передаче персональных данных работника, специалист по персоналу, предупреждает лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и истребуют от этих лиц письменное обязательство в соответствии с п. 3.11. настоящего Положения.
4.1.7. Доступ к персональным данным субъекта третьих лиц (физических и юридических):
4.1.7.1. Передача персональных данных работников третьим лицам осуществляется только с письменного согласия работника и должно включать в себя:
- фамилию, имя, отчество, адрес субъекта, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование и адрес ГАУЗ «Врачебно-физкультурный диспансер» , получающего согласие работника;
- цель передачи персональных данных работника;
- перечень персональных данных, на передачу которых дает согласие работник;
- срок, в течение которого действует согласие, а также порядок его отзыва;
4.1.7.2. Не допускается передача персональных данных работников в коммерческих целях без его письменного согласия, оформленного по установленной форме
5. Защита персональных данных
5.1. Защита персональных данных субъекта от неправомерного их использования или утраты обеспечивается ГАУЗ «Врачебно-физкультурный диспансер»
5.2. В целях обеспечения сохранности и конфиденциальности персональных данных работников организации все операции по оформлению, формированию, ведению и хранению данной информации должны выполняться только работником отдела кадров.
5.3. Передача информации, содержащей сведения о персональных данных работников организации, по телефону, факсу электронной почте без письменного согласия работника запрещается.
5.4. Личные дела и документы, содержащей сведения о персональных данных работников, хранятся в запирающихся шкафах и сейфах, обеспечивающих защиту от несанкционированного доступа.
5.5. Персональные компьютеры в которых содержатся персональные данные, должны быть защищены паролями доступа.
6. Ответственность за разглашение информации связанной с персональными данными работника
6.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.
Специалист отдела кадров Мухаметзянова А.И.______