ПОЛИТИКА
в отношении обработки персональных данных
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЕ
1.1. Настоящая Политика обработки персональных данных в учреждении здравоохранения «15-я городская детская поликлиника» (далее - Учреждение) разработана в соответствии с требованиями нормативных правовых актов Республики Беларусь, регулирующих процессы обработки персональных данных (далее - ПДн).
1.2. Политика определяет принципы обработки (сбора, систематизации, хранения, изменения, использования, обезличивания, блокирования, распространения, предоставления, удаления) и защиты ПДн пациентов Учреждения и субъектов, у которых возникают правоотношения с представителями Учреждения, а также функции Учреждения при обработке персональных данных, права субъектов персональных данных, а также реализуемые в Учреждении требования к защите персональных данных.
1.3. Настоящая Политика разработана с учетом требований Конституции Республики Беларусь, Законом Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон) и другими нормативными правовыми актами, регламентирующим процессы обработки персональных данных.
1.4. Действие настоящей Политики распространяется на все процессы по сбору, систематизации, хранению, изменению, использованию, обезличиванию, блокированию, распространению, предоставлению, удалению, уничтожению ПДн, осуществляемые как с использованием средств автоматизации, так и без использования таких средств.
1.5. Положения настоящей Политики являются основой для организации работы по обработке персональных данных в Учреждении, в том числе, для разработки локальных нормативных правовых актов (порядков, регламентов, методик и пр.), регламентирующих процесс обработки персональных данных в Учреждении.
1.6. Положения настоящей Политики действуют бессрочно, до их замены.
1.7. Политика подлежит изменению, дополнению в случае появления новых и изменения существующих законодательных актов и специальных нормативных документов об обработке и защите персональных данных. Новая редакция Политики вступает в силу с момента ее утверждения или обеспечения неограниченного доступа к ней иным образом, если иное не предусмотрено новой редакцией Политики.
1.8. Применяемые в настоящей Политике термины используются в следующих значениях:
1.8.1. блокирование персональных данных - прекращение доступа к персональным данным без их удаления;
1.8.2. обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
1.8.3. обработка персональных данных - любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;
1.8.4. общедоступные персональные данные - персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов;
1.8.5. учреждение здравоохранения «15-я городская детская поликлиника» (юр.адрес: г.Минск, ул.Голубева,27) - оператор персональных данных самостоятельно организующее и (или) осуществляющее обработку персональных данных;
1.8.6. персональные данные - любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
1.8.7. предоставление персональных данных - действия, направленные на ознакомление с персональными данными определенных лица или круга лиц;
1.8.9. распространение персональных данных - действия, направленные на ознакомление с персональными данными неопределенного круга лиц;
1.8.10. субъект персональных данных - физическое лицо, в отношении которого осуществляется обработка персональных данных;
1.8.11. трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства;
1.8.12. удаление персональных данных - действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных.
1.9. Для целей реализации настоящей Политики также применяются термины в значениях, определенных в Законе.
1.10. В целях реализации положений Политики в Учреждении разрабатываются соответствующие локальные правовые акты и иные документы, в том числе:
1.10.1. Положение об обработке и защите персональных данных в учреждении здравоохранения «15-я городская детская поликлиника» (приложение 1);
1.10.2. Положение о порядке обеспечения конфиденциальности при обработке информации, содержащей персональные данные (приложение 2);
1.10.3. иные локальные правовые акты и документы, регламентирующие в Учреждении вопросы обработки персональных данных.
ГЛАВА 2 ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1.Обработка ПДн осуществляется на основе следующих принципов:
- обработка на законной и справедливой основе;
- соблюдение законов и иных нормативных правовых актов, регламентирующих процессы обработки ПДн;
- ограничение обработки ПДн достижением конкретных, заранее определенных и законных целей;
- недопущение обработки ПДн, несовместимой с целями сбора ПДн;
- недопущение объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
- обработка только тех Пдн, которые отвечают целям их обработки;
- ограничение содержания и объема обрабатываемых ПДн соответствием заявленным целям их обработки;
- ограничение избыточности обрабатываемых ПДн заявленным целям обработки;
- обеспечение точности и достаточности, а в необходимых случаях и актуальности ПДн по отношению к заявленным целям их обработки.
2.2.Обработка ПДн в Учреждении осуществляется исключительно в следующих целях:
- предоставление медицинских услуг Субъектам персональных данных;
- обеспечение личной безопасности работников;
- поддержания/повышения качества, удобства и/или доступности медицинских услуг, в том числе организации электронного документооборота;
- обеспечение сохранности имущества Учреждения;
- исполнение Учреждением обязательств по договору, стороной по которому является Субъект персональных данных;
- информирования (распространения информации) о медицинских услугах, которые могут быть оказаны Учреждением, рекламы медицинских услуг;
- организации и проведения Учреждением исследований, опросов;
- продвижения услуг Учреждением путем осуществления прямых контактов с пациентами Учреждения с помощью различных средств связи, включая, но не ограничиваясь: по телефону с использованием специальных программ обмена сообщений, смс –рассылка сообщений, по электронной почте, почтовой рассылке и иными не запрещенными способами;
- предоставления Субъекту персональных данных информации об оказываемых Учреждением услугах;
- ведения кадровой работы и организации учета работников Учреждения;
- привлечения и отбора Кандидатов на работу в Учреждение;
- регулирования трудовых и иных, непосредственно связанных с ними отношений;
- рассмотрения обращений;
- осуществление административных процедур;
- ведение бухгалтерского и налогового учета;
- иных целях, не противоречащих законодательству Республики Беларусь.
ГЛАВА 3
ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ, В ТОМ ЧИСЛЕ СРОК ХРАНЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Сбор, накопление, хранение, изменение, использование и передача ПДн осуществляется при условии наличия согласия Субъекта ПДн, за исключением случаев, когда в соответствии с действующим законодательством допускается обработка ПДн без получения согласия субъекта ПДн, а именно:
- если специальные персональные данные сделаны общедоступными персональными данными самим субъектом персональных данных;
- при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством;
- при обработке общественными объединениями, политическими партиями, профессиональными союзами, религиозными организациями персональных данных их учредителей (членов) для достижения уставных целей при условии, что эти данные не подлежат распространению без согласия субъекта персональных данных;
- в целях организации оказания медицинской помощи при условии, что такие персональные данные обрабатываются медицинским, фармацевтическим или иным работником здравоохранения, на которого возложены обязанности по обеспечению защиты персональных данных и в соответствии с законодательством распространяется обязанность сохранять врачебную тайну;
- для осуществления правосудия, исполнения судебных постановлений и иных исполнительных документов, совершения исполнительной надписи, оформления наследственных прав;
- для целей ведения административного и (или) уголовного процесса, осуществления оперативно-розыскной деятельности;
- в случаях, предусмотренных уголовно-исполнительным законодательством, законодательством в области национальной безопасности, об обороне, о борьбе с коррупцией, о борьбе с терроризмом и противодействии экстремизму, о предотвращении легализации доходов, полученных преступным путем, финансирования террористической деятельности и финансирования распространения оружия массового поражения, о Государственной границе Республики Беларусь, о гражданстве, о порядке выезда из Республики Беларусь и въезда в Республику Беларусь, о статусе беженца, дополнительной защите, убежище и временной защите в Республике Беларусь;
- для организации и проведения государственных статистических наблюдений, формирования официальной статистической информации;
- для осуществления административных процедур;
- для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
- в случаях, когда обработка специальных персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;
- в случаях, когда Законом и иными законодательными актами прямо предусматривается обработка специальных персональных данных без согласия субъекта персональных данных.
3.2. Хранение ПДн осуществляется в форме, позволяющей определить субъекта ПДн не дольше, чем этого требуют соответствующие цели обработки ПДн, если срок хранения ПДн не установлен Законом, договором, стороной которого является субъект ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки, или в случае утраты необходимости в достижении этих целей.
3.3. ПДн субъектов могут обрабатываться как на бумажных носителях, так и в электронном виде.
3.4. ПДн на бумажных носителях хранятся в запираемых шкафах или местах, недоступных для посторонних лиц.
3.5.ПДн субъектов в электронном виде обрабатываются в компьютерных сетях Учреждения.
3.6. Учреждение вправе поручить обработку ПДн третьему лицу с согласия субъекта ПДн, если иное не предусмотрено Законом, на основании заключаемого с этим лицом договора. При этом Учреждение в договоре обязует третье лицо, осуществляющее обработку ПДн по поручению Учреждения, соблюдать принципы и правила обработки ПДн, предусмотренные Законом и другими нормативными правовыми актами, регламентирующим процессы обработки ПДн.
3.7. В случае если Учреждение поручает обработку ПДн третьему лицу, ответственность перед субъектом ПДн за действия указанного лица несет Учреждение. Лицо, осуществляющее обработку ПДн по поручению Учреждения, несет ответственность перед Учреждением.
3.8. Учреждение обязуется и обязует третьих лиц, получивших доступ к ПДн, не раскрывать третьим лицам и не распространять ПДн без согласия субъекта ПДн, если иное не предусмотрено Законом.
3.9. Трансграничная передача ПДн Учреждением не осуществляется.
3.10. В случае достижения целей обработки ПДн – Учреждение прекращает обработку ПДн, если иное не предусмотрено соглашением между Учреждением и Субъектом персональных данных.
3.11. В случае отзыва субъектом ПДн согласия на обработку своих ПДн Учреждение прекращает их обработку, осуществляет их удаление и уведомляет об этом Субъекта персональных данных, если отсутствуют иные основания для таких действий с персональными данными, предусмотренные настоящим Законом и иными законодательными актами.
3.12. При отсутствии технической возможности удаления персональных данных Учреждение обязано принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить об этом субъекта персональных данных в тот же срок.
3.13. В случае выявления неправомерной обработки ПДн – Учреждение предпринимает меры по уничтожению этих ПДн в срок, не превышающий трех рабочих дней со дня выявления неправомерной обработки ПДн. В случае, если обеспечить правомерность обработки персональных данных невозможно, Учреждение в срок, не превышающий 10 (десяти) рабочих дней с даты выявления неправомерной обработки персональных данных, обязано уничтожить такие персональные данные или обеспечить их уничтожение.
3.14. В случае отсутствия возможности уничтожения ПДн в течение указанного срока, Учреждение осуществляет блокирование таких ПДн и обеспечивает уничтожение ПДн в срок, не превышающий 6 месяцев со дня выявления неправомерной обработки ПДн, если иной срок не установлен действующим законодательством или иными нормативными правовыми актами, регулирующими процессы обработки ПДн.
3.15. В случае обращения субъекта ПДн с заявлением об уничтожении его персональных данных, Учреждение обязано в срок, не превышающий пятнадцати дней с момента подачи субъектом ПДн заявления, прекратить обработку персональных данных данного субъекта, указанного в заявлении, а также осуществить их удаление (обеспечить прекращение обработки персональных данных, а также их удаление уполномоченным лицом) и уведомить об этом Субъекта персональных данных.
3.16. При отсутствии технической возможности удаления персональных данных оператор обязан принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить об этом субъекта персональных данных в тот же срок.
3.17. ПДн на бумажных носителях уничтожаются с помощью средств или иным способом, гарантирующих невозможность восстановления носителя.
3.18. Уничтожение информации с машиночитаемых носителей ПДн, производится способом, исключающим возможность использования и восстановления информации.
3.19. При обработке ПДн Учреждение принимает необходимые правовые, организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн, а также от иных неправомерных действий в отношении ПДн.
3.20. Обеспечение безопасности ПДн достигается, в частности:
- определением угроз безопасности ПДн при их обработке в информационных системах персональных данных (далее ИСПДн);
- применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн, необходимых для выполнения требований к защите ПДн, исполнение которых обеспечивает установленные уровни защищенности ПДн;
- оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию ИСПДн;
- обнаружением фактов несанкционированного доступа к ПДн и принятием необходимых мер;
- восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к ПДн, обрабатываемых в ИСПДн, а также обеспечением регистрации доступа к ПДн в ИСПДн;
- контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности ИСПДн.
ГЛАВА 3
КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Учреждение обрабатывает персональные данные следующих категорий субъектов:
3.1.1. работников Учреждения;
3.1.2. родственников работников Учреждения;
3.1.3. кандидатов на рабочие места;
3.1.4. работников и иных представителей контрагентов – юридических лиц;
3.1.5. контрагентов – физических лиц;
3.1.6. пациентов;
3.1.7. лиц, указанных в части второй статьи 18 Закона Республики Беларусь от 18 июня 1993 № 2435-XII «О здравоохранении» (в редакции Закон Республики Беларусь от 11.12.2020) (далее – Закона о здравоохранении);
3.1.8. иных субъектов, взаимодействие которых с Оператором создает необходимость обработки данных.
ГЛАВА 4
УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В УЧРЕЖДЕНИИ
4.1. Учреждение обеспечивает конфиденциальность ПДн, не допускает их распространения без согласия субъекта ПДн или наличия иного законного основания. Обеспечение конфиденциальности обезличенных и общедоступных ПДн осуществляется аналогично обеспечению конфиденциальности иных данных, обрабатываемых в Обществе.
4.2. Учреждение осуществляет организацию внутреннего доступа сотрудников Учреждения к информации, содержащей персональные данные.
В рамках настоящей Политики под внутренним доступом понимается доступ к ПДн, предоставляемый работникам Учреждения.
Доступ к ПДн предоставляется только тем работникам Учреждения, которым он необходим для исполнения их непосредственных должностных обязанностей.
4.3. Допуск работников Учреждения к обработке ПДн осуществляется на основании утвержденного Перечня должностей работников, допущенных к обработке ПДн, обрабатываемых в Учреждении. Работник Учреждения допускается к обработке ПДн после ознакомления его с Перечнем должностей работников, только в том случае, если занимаемая им должность указана в Перечне и только в рамках тех задач, которые он обязан осуществлять для выполнения своих служебных обязанностей.
Работник Учреждения допускается к обработке ПДн только после ознакомления с действующими нормативными правовыми актами, регламентирующими обработку ПДн, локальными нормативными актами Учреждения, регламентирующими обработку ПДн, и после подписания обязательства о соблюдении установленного порядка обработки персональных данных.
4.4. Общество обеспечивает реализацию прав субъектов ПДн в порядке и на условиях, регламентированных Законом Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных», в соответствии с которым субъект ПДн имеет право:
4.4.1. Получить информацию, касающуюся обработки ПДн Учреждением, и изменение ПДн, а именно:
- наименование (фамилию, собственное имя, отчество (если таковое имеется)) и место нахождения (адрес места жительства (места пребывания)) оператора;
- подтверждение факта обработки персональных данных оператором (уполномоченным лицом);
- его персональные данные и источник их получения;
- правовые основания и цели обработки персональных данных;
- срок, на который дано его согласие;
- наименование и место нахождения уполномоченного лица, которое является государственным органом, юридическим лицом Республики Беларусь, иной организацией, если обработка персональных данных поручена такому лицу;
- иную информацию, предусмотренную законодательством.
Для получения вышеуказанной информации субъект персональных данных подает представителю Учреждения заявление в соответствии со статьей 14 Закона.
4.4.2. Потребовать от Учреждения внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными.
4.4.3. В этих целях субъект персональных данных подает представителю Оператора заявление в порядке, установленном статьей 14 Закона, с приложением соответствующих документов и (или) их заверенных в установленном порядке копий, подтверждающих необходимость внесения изменений в персональные данные.
4.5. Отозвать свое согласие на обработку ПДн в любое время без объяснения причин посредством подачи Обществу заявления в порядке, установленном статьей 14 Закона, либо в форме, посредством которой получено его согласие.
4.6. Получать от Учреждения информацию о предоставлении своих ПДн третьим лицам один раз в календарный год бесплатно, если иное не предусмотрено настоящим Законом и иными законодательными актами.
Для получения вышеуказанной информации Субъект персональных данных подает заявление оператору в порядке, установленном статьей 14 Закона.
4.7. Требовать от Учреждения бесплатного прекращения обработки своих ПДн, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных настоящим Законом и иными законодательными актами.
4.8. Для реализации указанного права Субъект персональных данных подает представителю Учреждения заявление в порядке, установленном статьей 14 Закона.
4.9. Обжаловать действия (бездействие) и решения оператору, нарушающие его права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц.
4.10. Субъект персональных данных несет ответственность за предоставление персональных данных и обязан в течении 5 рабочих дней сообщить об изменении персональных данных. В противном случае оператор не несет ответственность за измененные персональные данные.
ГЛАВА 5
ЗАКЛЮЧИТЕЛЬНОЕ ПОЛОЖЕНИЕ
5.1. За нарушение требований настоящей Политики (иных локальных нормативных правовых актов Общества, принятых в развитие ее положений), в том числе касающихся несоблюдения принципов и условий обработки персональных данных физических лиц, а также за разглашение или незаконное использование персональных данных Учреждение и работники несут дисциплинарную, гражданско-правовую, административную, уголовную ответственность в соответствии с законодательством Республики Беларусь.