Персональные данные

Положение об обработке и защите ПД »

Приложение № 1

к приказу от 09.01.2017 №

УТВЕРЖДАЮ

Главный врач

КГБУЗ «КМБ № 2»

_____________ Т.Е. Черных

«____» ____________ 2017г.

Положение об обработке и  защите персональных данных

КГБУЗ «Красноярская межрайонная больница № 2»

  1. Общие положения

1.1.      Настоящее Положение имеет своей целью закрепление механизмов обеспечения прав субъекта на сохранение конфиденциальности информации о фактах, событиях и обстоятельствах его жизни.

1.2.      Настоящее Положение об обработке и защите персональных данных (далее — Положение) определяет порядок сбора, хранения, передачи и любого другого использования персональных данных работников  и граждан в соответствии с законодательством Российской Федерации и гарантии конфиденциальности сведений о работнике предоставленных работником работодателю.

1.3.      Положение разработано в соответствии с Конституцией Российской Федерации, Трудовым Кодексом Российской Федерации, Федеральным законом от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 27.07.2006 N 152-ФЗ «О персональных данных», иными нормативно-правовыми актами, действующими на территории Российской Федерации.

  1. Основные понятия

Для целей настоящего Положения используются следующие понятия:

2.1.      Оператор персональных данных (далее оператор) — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. В рамках настоящего положения оператором является краевое государственное бюджетное учреждение здравоохранения «Красноярская межрайонная больница № 2» (далее – КГБУЗ «КМБ № 2»).

2.2.      Персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация о физическом лице.

2.3.      Субъект — субъект персональных данных.

2.4.      Сотрудник (работник) — физическое лицо, состоящее в трудовых отношениях с оператором.

2.5.         Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники;

2.6.      Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

2.7.      Использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

2.8.         Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

2.9.      Уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

2.10.    К персональным данным относятся:

—          фамилия, имя, отчество;

—          год рождения;

—          месяц рождения;

—          дата рождения;

—          место рождения;

—          адрес;

—          семейное положение;

—          социальное положение;

—          имущественное положение;

—          сведения об образовании;

—          сведения о профессии;

—          сведения о доходах;

—          сведения о состоянии здоровья;

—          фотографии;

—          пол;

—          гражданство;

—          серия и номер паспорта;

—          дата выдачи паспорта;

—          сведения об учреждении выдавшем паспорт;

—          номер телефона;

—          адрес электронной почты;

—          сведения о постановке на учет в налоговом органе;

—          серия и номер полиса медицинского страхования;

—          номер страхового свидетельства обязательного пенсионного страхования;

—          сведения о воинском учете;

—          сведения о социальных льготах;

—          должность;

—          сведения о трудовой деятельности;

—          сведения о повышении квалификации, переподготовке и аттестации;

—          сведения о судимости;

—          сведения о выписанных лекарственных средствах;

—          место работы или учебы членов семьи;

—          содержание служебного контракта;

—          содержание приказов по личному составу;

—          основания к приказам по личному составу;

—          сведения о награждении государственными наградами, присвоении почетных, воинских и специальных званий.

  1. Обработка персональных данных

3.1.      Общие требования при обработке персональных данных.

В целях обеспечения прав и свобод человека и гражданина при обработке персональных данных обязаны соблюдаться следующие требования:

3.1.1.   Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения Конституции Российской Федерации, законов и иных нормативных правовых актов РФ, содействия субъектам персональных данных в трудоустройстве, продвижении по службе, обучении, контроля количества и качества выполняемой работы, обеспечения личной безопасности субъекта персональных данных и членов его семьи, а также в целях обеспечения сохранности принадлежащего ему имущества и имущества оператора.

3.1.2.   Персональные данные не могут быть использованы в целях причинения имущественного и/или морального вреда гражданам, затруднения реализации прав и свобод граждан Российской Федерации.

3.1.3.   При принятии решений, затрагивающих интересы субъекта персональных данных, нельзя основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.

3.1.4.   Сотрудники или их законные представители должны быть ознакомлены под расписку с документами оператора, устанавливающими порядок обработки персональных данных субъектов, а также их права и обязанности в этой области.

3.1.5.   Субъекты персональных данных, не являющиеся работниками, или их законные представители имеют право ознакомиться с документами оператора, устанавливающими порядок обработки персональных данных субъектов, а также их права и обязанности в этой области.

3.1.6.   Субъекты персональных данных не должны отказываться от своих прав на сохранение и защиту тайны.

3.2.      Получение персональных данных.

3.2.1.   Все персональные данные следует получать непосредственно от субъекта персональных данных. Субъект самостоятельно принимает решение о предоставлении своих персональных данных и дает письменное согласие на их обработку оператором. Форма заявления-согласия субъекта на обработку персональных данных представлена в приложении №1 к настоящему положению.

3.2.2.   В случае недееспособности либо несовершеннолетия субъекта персональных данных все персональные субъекта следует получать от его законных представителей. Законный представитель самостоятельно принимает решение о предоставлении персональных данных своего подопечного и дает письменное согласие на их обработку оператором. Форма заявления-согласия на обработку персональных данных подопечного представлена в приложении №2 к настоящему положению.

3.2.3.   Письменное согласие не требуется, если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.

3.2.4.   Согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В случаях указанных в пункте 3.2.2. настоящего положения согласие может быть отозвано законным представителем субъекта персональных данных. Форма отзыва согласия на обработку персональных данных представлена в приложении №3 к настоящему положению.

3.2.5.   В случаях, когда оператор может получить необходимые персональные данные субъекта только у третьей стороны, субъект должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. В уведомлении оператор обязан сообщить о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение. Согласие оформляется в письменной форме в двух экземплярах: один из которых предоставляется субъекту, второй хранится у оператора. Форма заявления-согласия субъекта на получение его персональных данных от третьей стороны представлена в приложении №4 к настоящему положению.

3.2.6.   Запрещается получать и обрабатывать персональные данные субъекта о его политических, религиозных и иных убеждениях и частной жизни.

3.2.7.   Запрещается получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.

3.2.8.   В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации оператор вправе получать и обрабатывать данные о частной жизни субъекта только с его письменного согласия.

3.3.      Хранение персональных данных.

3.3.1.   Хранение персональных данных субъектов осуществляется на бумажных и электронных носителях с ограниченным доступом.

3.3.2.   Личные дела хранятся в бумажном виде в папках, прошитые и пронумерованные по страницам. Личные дела хранятся в специально отведенной секции сейфа, обеспечивающего защиту от несанкционированного доступа.

3.3.3.   Подразделения, хранящие персональные данные на бумажных носителях, обеспечивают их защиту от несанкционированного доступа и копирования согласно «Положению об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», утвержденному постановлением правительства РФ 15 сентября 2008 г. N 687.

3.3.4.   Хранение персональных данных в автоматизированной базе данных обеспечивается защитой согласно Постановлению Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

3.4.      Передача персональных данных

3.4.1.   При передаче персональных данных субъекта оператор обязан соблюдать следующие требования:

—  не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта или его законного представителя, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в случаях, предусмотренных Трудовым Кодексом Российской Федерации или иными федеральными законами. Форма заявления-согласия субъекта на передачу его персональных данных третьей стороне см. в приложении №5 настоящего положения;

— предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные субъекта, обязаны соблюдать требования конфиденциальности;

—  не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия;

— не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения им трудовой функции;

— передавать персональные данные субъекта представителям субъектов в порядке, установленном Трудовым Кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными субъекта, которые необходимы для выполнения указанными представителями их функций;

—  все сведения о передаче персональных данных субъекта регистрируются в целях контроля правомерности использования данной информации лицами, ее получившими. Регистрации подлежат сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также отмечается, какая именно информация была передана.

3.4.2. Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъекта распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

3.4.3. Внутренний доступ (доступ внутри организации) к персональным данным субъекта имеют:

 главный врач;

 главный бухгалтер и работники бухгалтерии;

 начальник отдела кадров и специалисты отдела кадров;

 заместители главного врача;

 работники планово-экономического отдела;

 работники отдела ПО;

 руководители подразделений (доступ к персональным данным сотрудников, непосредственно находящихся в его подчинении);

 сам субъект, носитель данных.

3.4.4. Все сотрудники, имеющие доступ к персональным данным субъектов, обязаны подписать соглашение о неразглашении персональных данных. Форма соглашения о неразглашении персональных данных представлена в приложении №6 настоящего положения.

3.4.5. К числу массовых потребителей персональных данных вне учреждения относятся государственные и негосударственные функциональные структуры: налоговые инспекции; правоохранительные органы; органы статистики; страховые агентства; военкоматы; органы социального страхования; пенсионные фонды; подразделения федеральных, областных и муниципальных органов управления. Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.

3.4.6. Организации, в которые субъект может осуществлять перечисления денежных средств (страховые Общества, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения) могут получить доступ к персональным данным субъекта только в случае его письменного разрешения.

3.5. Уничтожение персональных данных

3.5.1.  Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

3.5.2. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.

  1. Права и обязанности субъектов персональных данных и оператора

4.1.      В целях обеспечения защиты персональных данных субъекты имеют право:

—          получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);

—          осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, содержащей персональные данные работника, за исключением случаев, предусмотренных федеральным законодательством;

—          требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением законодательства;

—          при отказе оператора или уполномоченного им лица исключить или исправить персональные данные субъекта — заявить в письменной форме о своем несогласии, представив соответствующее обоснование;

—          дополнить персональные данные оценочного характера заявлением, выражающим его собственную точку зрения;

—          требовать от оператора или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них изменениях или исключениях из них;

—          обжаловать в суд любые неправомерные действия или бездействие оператора или уполномоченного им лица при обработке и защите персональных данных субъекта.

4.2.      Для защиты персональных данных субъектов оператор обязан:

—          за свой счет обеспечить защиту персональных данных субъекта от неправомерного их использования или утраты в порядке, установленном законодательством РФ;

—          ознакомить работника или его представителей с настоящим положением и его правами в области защиты персональных данных под расписку;

—          по запросу ознакомить субъекта персональных данных, не являющегося работником, или в случае недееспособности либо несовершеннолетия субъекта, его законных представителей с настоящим положением и его правами в области защиты персональных данных;

—          осуществлять передачу персональных данных субъекта только в соответствии с настоящим Положением и законодательством Российской Федерации;

—          предоставлять персональные данные субъекта только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей в соответствии с настоящим положением и законодательством Российской Федерации;

—          обеспечить субъекту свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством;

—          по требованию субъекта или его законного представителя предоставить ему полную информацию о его персональных данных и обработке этих данных.

4.3.      Субъект персональных данных или его законный представитель обязуется предоставлять персональные данные, соответствующие действительности.

  1. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

5.1.      Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, содержащему персональные данные, несет персональную ответственность за данное разрешение.

5.2.      Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым Кодексом Российской Федерации и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

5.3. Руководитель за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника несет административную ответственность согласно ст.5.27 и 5.39 КоАП РФ.

5.4. Работники, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника несет дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с Федеральным законом РФ.

Приложение № 1 Лист А

к Положению о персональных данных

СОГЛАСИЕ

на обработку персональных данных (для работников)

Я,_________________________________________________________________________________________________                           (фамилия, имя, отчество полностью)

в соответствии со статьей 9 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», в целях:  обеспечения соблюдения законов и иных нормативных правовых актов; заключения и регулирования трудовых отношений и иных непосредственно связанных с ними отношений; отражения информации в кадровых документах;  начисления заработной платы; исчисления и уплаты предусмотренных законодательством РФ налогов, сборов и взносов на обязательное социальное и пенсионное страхование; представления работодателем установленной законодательством отчетности в отношении физических лиц, в том числе сведений персонифицированного учета в Пенсионный фонд РФ, сведений подоходного налога в ФНС России, сведений в ФСС РФ; предоставления сведений в банк для оформления банковской карты и перечисления на нее заработной платы; предоставления сведений третьим лицам для оформления полиса ДМС;  предоставления налоговых вычетов;  обеспечения моей безопасности;  контроля количества и качества выполняемой мной работы;  обеспечения сохранности имущества работодателя

даю согласие краевому государственному бюджетному учреждению здравоохранения «Красноярская межрайонная больница № 2», расположенному по адресу: г. Красноярск, ул. 40 лет Победы д.2 стр. 3 на автоматизированную, а также без использования средств автоматизации обработку моих персональных данных, а именно совершение действий, предусмотренных пунктом 3 статьи 3 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».

Перечень моих персональных данных, на обработку которых я даю согласие:  фамилия, имя, отчество; пол, возраст;  дата и место рождения; паспортные данные; адрес регистрации по месту жительства и адрес фактического проживания;  номер телефона (домашний, мобильный); данные документов об образовании, квалификации, профессиональной подготовке, сведения о повышении квалификации; семейное положение, сведения о составе семьи, которые могут понадобиться работодателю для предоставления мне льгот, предусмотренных трудовым и налоговым законодательством;  отношение к воинской обязанности;  сведения о трудовом стаже, предыдущих местах работы, доходах с предыдущих мест работы;  СНИЛС;  ИНН; информация о приеме, переводе, увольнении и иных событиях, относящихся к моей трудовой деятельности в КГБУЗ «КМБ № 2»;  сведения о доходах в КГБУЗ «КМБ № 2»;  сведения о деловых и иных личных качествах, носящих оценочный характер.

Настоящее согласие действует со дня его подписания до дня отзыва в письменной форме.

В случае изменения моих персональных данных в течении срока действия трудового договора обязуюсь проинформировать об этом отдел кадров КГБУЗ «КМБ № 2» в установленном порядке.

__________     ____________________        _________

(подпись)      (расшифровка  подписи)          (дата)

Приложение № 1 Лист Б

к Положению о персональных данных

Согласие на обработку персональных данных (для пациентов)

Я, нижеподписавшийся_____________________________________________проживающий

(Ф. И. О. полностью)

по адресу______________________________________________________________

паспорт: серия______ №_________ выдан___________________________________

(название выдавшего органа)

В соответствии с требованиями статьи 9 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», подтверж­даю свое согласие на обработку КГБУЗ «КМБ № 2»,  адрес: 660119. г. Красноярск ул. 40 лет Победы, д. 2. стр. 3 (далее — Оператор) моих персональных данных, включающих: фамилию, имя, отчество, пол, дату рождения, адрес проживания, контактный телефон, реквизиты полиса ОМС (ДМС), страховой номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС), паспортные данные, данные о состоянии моего здоровья и биометрические данные в целях установления медицинского диагноза и оказания медицинских услуг при условии, что их обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну.

В процессе оказания Оператором мне медицинской помощи я предоставляю право медицинским работникам передавать мои персональные данные, содержащие сведения, составляющие врачебную тайну, другим должност­ным лицам Оператора, в интересах моего обследования и лечения, а также страховым компаниям в целях проведения экспертизы качества оказанной медицинской помощи.

Предоставляю Оператору право осуществлять все действия (операции) с моими персональными данными, включая сбор, обработку, систематизацию, накопление, хранение, обновление, изменение, использование, обезличивание, блокирование, уничтожение. Оператор вправе обрабатывать мои персональные данные посред­ством внесения их в электронную базу данных, включения списки (реестры) и отчетные формы, предусмотренные документами, регламентирующими предоставление отчетных данных (документов). Срок хранения моих персональных данных соответствует сроку хранения первичных медицинских документов. Передача моих персональных данных иным лицам или иное их разглашение

может осуществляться только с моего письменного согласия. Настоящее согласие дано мной  « » 20___года и действует бессрочно. Я оставляю за собой право отозвать свое согласие посредством составления соответствующего письменного документа, который может быть направлен мной в адрес Оператора по почте заказным письмом с уведомлением о вручении, либо вручен лично под расписку представителю Оператора. В случае получения моего письменного заявления об отзыве настоящего со -гласил на обработку персональных данных. Оператор обязан прекратить их обработку в течение периода времени, необходимого для завершения случая оказания помощи.

Я понимаю, что в случаях, предусмотренных п.4 ст. 13 ФЗ № 323 « Об основах охраны здоровья граждан в РФ» все вышеуказанные сведения о моем здоровье и биометрические данные, составляющие врачебную тайну, могут быть переданы без моего согласия иным медицинским учреждениям, органам следствия и суда, органам санитарно-эпидемиологической защиты, военкоматам, органам опеки и попечительства, иным органам государственной власти.

Контактный телефон(ы)__________________________________________________________

Подпись субъекта персональных данных __________ /____________________________/

Дата ______________

  • Приложение № 2

к Положению о персональных данных

Заявление-согласие субъекта на обработку персональных данных подопечного

Я, ______________________________________________________, паспорт серии______, номер ____, выданный ___________________________ ___________ ___________________________« ___ » ___________ _____ года, проживающий _____________________________________________________ в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» даю согласие краевому государственному бюджетному учреждению здравоохранения «Красноярская межрайонная больница № 2», расположенному по адресу г.Красноярск, ул. 40 лет Победы, д.2, стр.3 на обработку персональных данных моего/ей сына (дочери, подопечного) ___________________________________________________,

(Ф.И.О. сына, дочери, подопечного)

а именно:________________________________________________________

________________________________________________________________

(указать состав персональных данных (Ф.И.О, паспортные данные, адрес …)

Для обработки в целях, ____________________________________________

(указать цели)

Я утверждаю, что ознакомлен с документами организации, устанавливающими порядок обработки персональных данных, а также с моими правами и обязанностями в этой области.

Согласие вступает в силу со дня его подписания и действует в течение неопределенного срока. Согласие может быть отозвано мною в любое время на основании моего письменного заявления.

«_____»__________201_ года                        _________________________________

подпись, расшифровка подписи

Приложение № 3

к Положению о персональных данных

ОТЗЫВ СОГЛАСИЯ

на обработку персональных данных

Я, _____________________________________________________________

(фамилия, имя, отчество полностью)

зарегистрированного по адресу: ___________________________________

паспорт ________________________________________________________

выдан___________________________________________________________________________________________________________________________

В соответствии с п. 1 ст. 9 Федерального закона «О персональных данных» N 152-ФЗ от 27.07.2006 года отзываю у КГБУЗ «КМБ № 2» согласие на обработку моих персональных данных.

Прошу прекратить обработку моих персональных данных в течение трех рабочих дней с момента поступления настоящего отзыва.

_________    ______________

(подписи) (расшифровка  подписи)

________

(дата)

Приложение № 4

к Положению о персональных данных

Заявление-согласие субъекта на получение его персональных данных у третьей стороны

Я, ______________________________________________________, паспорт серии______,  номер ____, выданный ___________________________ ___________ ___________________________« ___ » ___________ _____ года, проживающий _____________________________________________________ в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» ____________________    на получение краевым

(согласен/не согласен)

государственным бюджетным учреждением здравоохранения «Красноярская межрайонная больница № 2» моих персональных данных, а именно:

________________________________________________________________

________________________________________________________________

(указать состав персональных данных (Ф.И.О, паспортные данные, адрес)

Для обработки в целях _____________________________________________

________________________________________________________________

(указать цели обработки)

У следующих лиц ________________________________________________

_______________________________________________________________

(указать Ф.И.О. физического лица или наименование организации, у которой собираются данные)

Я утверждаю, что ознакомлен(а) с документами организации, устанавливающими порядок обработки персональных данных, а также с моими правами и обязанностями в этой области.

Согласие вступает в силу со дня его подписания и действует в течение неопределенного срока. Согласие может быть отозвано мною в любое время на основании моего письменного заявления.

« ___ » __________ 20___ г.                                                                      (подпись)

Приложение № 5

к Положению о персональных данных

Заявление-согласие субъекта на передачу его персональных данных третьей стороне

Я, ______________________________________________________, паспорт серии______,  номер ____, выданный ___________________________ ___________ ___________________________« ___ » ___________ _____ года, проживающий _____________________________________________________ в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» ____________________    на передачу краевому

(согласен/не согласен)

государственному бюджетному учреждению здравоохранения «Красноярская межрайонная больница № 2» моих персональных данных, а именно:

________________________________________________________________

________________________________________________________________

(указать состав персональных данных (Ф.И.О, паспортные данные, адрес)

для ___________________________________________________________

______________________________________________________________

(указать перечень действий и способ обработки)

в целях ___________________________________________________________

(указать цели обработки)

следующим лицам _______________________________________________

_______________________________________________________________

(указать Ф.И.О. физического лица или наименование организации, адрес, которым передаются данные)

Я утверждаю, что ознакомлен(а) с документами организации, устанавливающими порядок обработки персональных данных, а также с моими правами и обязанностями в этой области.

Согласие вступает в силу со дня его подписания и действует в течение неопределенного срока. Согласие может быть отозвано мною в любое время на основании моего письменного заявления.

« ___ » __________ 20___ г.                                                                      (подпись)

Приложение № 6

к Положению о персональных данных

Соглашение о неразглашении персональных данных субъекта

Я, _________________________________________________________, паспорт серии ________,  номер___________, выданный _________________ _____________________________________« ___ » ___________ _____ года, понимаю, что получаю доступ к персональным данным обрабатываемых в краевом государственном бюджетном учреждении здравоохранения «Красноярская межрайонная больница № 2».

Я также понимаю, что во время исполнения своих обязанностей, мне приходится заниматься сбором, обработкой и хранением персональных данных.

Я понимаю, что разглашение такого рода информации может нанести ущерб субъектам персональных данных, как прямой, так и косвенный.

В связи с этим даю обязательство при работе (сборе, обработке, накоплении, хранении и т.д.) с персональными данными физических лиц соблюдать все описанные в Федеральном законе от 27.07.2006 г. № 152-ФЗ «О персональных данных», постановлении Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и других нормативных актах, требования.

Я подтверждаю, что не имею права разглашать сведения:

—          фамилия, имя, отчество;

—          год рождения;

—          месяц рождения;

—          дата рождения;

—          место рождения;

—          адрес;

—          семейное положение;

—          социальное положение;

—          имущественное положение;

—          сведения об образовании;

—          сведения о профессии;

—          сведения о доходах;

—          сведения о состоянии здоровья;

—          фотографии;

—          пол;

—          гражданство;

—          серия и номер паспорта;

—          дата выдачи паспорта;

—          сведения об учреждении выдавшем паспорт;

—          номер телефона;

—          адрес электронной почты;

—          сведения о постановке на учет в налоговом органе;

—          серия и номер полиса медицинского страхования;

—          номер страхового свидетельства обязательного пенсионного страхования;

—          сведения о воинском учете;

—          сведения о социальных льготах;

—          должность;

—          содержание служебного контракта;

—          сведения о трудовой деятельности;

—          сведения о повышении квалификации, переподготовке и аттестации;

—          место работы или учебы членов семьи;

—          сведения о судимости;

—          сведения о выписанных лекарственных средствах;

—          содержание приказов по личному составу;

—          основания к приказам по личному составу;

—          сведения о награждении государственными наградами, присвоении почетных, воинских и специальных званий.

Я предупрежден (а) о том, что в случае разглашения мной сведений, касающихся персональных данных или их утраты я несу ответственность в соответствии с действующим законодательством РФ.

« ___ » ______________ 20___ г.               ______________/___________________

подпись

Приложение 2 к Положению о ПД »

Приложение № 2 к приказу от 09.01.2017 № 108
Перечень сведений, подлежащих обработке и защите в информационных системах персональных данных КГБУЗ «Красноярская межрайонная больница № 2»

Введение

Перечень разработан в соответствии со списком объектов защиты, изложенных вКонцепции информационной безопасностиИСПДн Учреждения.

Перечень содержит полный список категорий данных, безопасность которых должна обеспечиваться системой защиты персональных данных (СЗПДн).

1Общие положения

Объектами защиты являются – информация, обрабатываемая в ИСПДн, и технические средства ее обработки и защиты. Перечень объектов защиты определен по результатамОтчета о результатах проведения внутренней проверки.

Объекты защиты каждой ИСПДн включают:

Обрабатываемую информацию:

-персональные данные субъектов ПДн;

-персональные данные сотрудников;

Технологическую информацию.

Программно-технические средства обработки.

Средства защиты ПДн.

Каналы информационного обмена и телекоммуникации.

Объекты и помещения, в которых размещены компоненты ИСПДн.

1ИСПДн АИС «Поликлиника»

1.1Обрабатываемая информация

В ИСПДн обрабатываются следующие персональные данные:

персональные данные субъектов ПДн (пациентов):

ФИО;

Дата рождения;

Контактный телефон;

Адрес прописки;

Адрес фактического проживания;

Паспортные данные;

Данные о состоянии здоровья (история болезни).

персональные данные сотрудников:

Фамилия, имя, отчество;

Технологическая информация:

-управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);

технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);

информация на съемных носителях информации (бумажные, магнитные, оптические и пр.), содержащие защищаемую технологическую информацию системы управления ресурсами или средств доступа к этим системам управления;

информация о СЗПДн, их составе и структуре, принципах и технических решениях защиты;

информационные ресурсы (базы данных, файлы и другие), содержащие информацию об информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;

служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки Обрабатываемой информации.

Программно-технические средства обработки:

общесистемное и специальное программное обеспечение, участвующее в обработке ПДн (операционные системы, СУБД, клиент-серверные приложения и другие);

резервные копии общесистемного программного обеспечения;

инструментальные средства и утилиты систем управления ресурсами ИСПДн;

аппаратные средства обработки ПДн (АРМ и сервера);

сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.).

Средства защиты ПДн:

средства управления и разграничения доступа пользователей;

средства обеспечения регистрации и учета действий с информацией;

средства, обеспечивающие целостность данных;

средства антивирусной защиты;

средства межсетевого экранирования;

средства анализа защищенности;

средства обнаружения вторжений;

средства криптографической защиты ПДн, при их передачи по каналам связи сетей общего и (или) международного обмена.

-каналы информационного обмена и телекоммуникации.

объекты и помещения, в которых размещены компоненты ИСПДн.

1ИСПДн ПК «Hospital»

1.1Обрабатываемая информация

В ИСПДн обрабатываются следующие персональные данные:

персональные данные субъектов ПДн (пациентов):

ФИО;

Дата рождения;

Контактный телефон;

Адрес прописки;

Адрес фактического проживания;

Паспортные данные;

-Данные о состоянии здоровья (история болезни).

персональные данные сотрудников:

Фамилия, имя, отчество;

Технологическая информация:

-управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);

-технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);

-информация на съемных носителях информации (бумажные, магнитные, оптические и пр.), содержащие защищаемую технологическую информацию системы управления ресурсами или средств доступа к этим системам управления;

-информация о СЗПДн, их составе и структуре, принципах и технических решениях защиты;

-информационные ресурсы (базы данных, файлы и другие), содержащие информацию об информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;

-служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки Обрабатываемой информации.

Программно-технические средства обработки:

-общесистемное и специальное программное обеспечение, участвующее в обработке ПДн (операционные системы, СУБД, клиент-серверные приложения и другие);

-резервные копии общесистемного программного обеспечения;

-инструментальные средства и утилиты систем управления ресурсами ИСПДн;

-аппаратные средства обработки ПДн (АРМ и сервера);

-сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.).

Средства защиты ПДн:

-средства управления и разграничения доступа пользователей;

-средства обеспечения регистрации и учета действий с информацией;

средства, обеспечивающие целостность данных;

средства антивирусной защиты;

средства межсетевого экранирования;

средства анализа защищенности;

средства обнаружения вторжений;

-средства криптографической защиты ПДн, при их передачи по каналам связи сетей общего и (или) международного обмена.

-каналы информационного обмена и телекоммуникации.

-объекты и помещения, в которых размещены компоненты ИСПДн.

1ИСПДн ПК «1С Предприятие»

1.1Обрабатываемая информация

В ИСПДн обрабатываются следующие персональные данные:

персональные данные субъектов ПДн (пациентов):

ФИО;

Дата рождения;

Контактный телефон;

Адрес прописки;

Адрес фактического проживания;

Паспортные данные;

персональные данные сотрудников:

Фамилия, имя, отчество;

Место, год и дата рождения;

Адрес по прописке;

Паспортные данные (серия, номер паспорта, кем и когда выдан);

Информация об образовании (наименование образовательного учреждения, сведения о документах, подтверждающие образование: наименование, номер, дата выдачи, специальность);

Информация о трудовой деятельности до приема на работу;

Информация о трудовом стаже (место работы, должность, период работы, период работы, причины увольнения);

Адрес проживания (реальный);

Телефонный номер (домашний, рабочий, мобильный);

Семейное положение и состав семьи (муж/жена, дети);

Информация о знании иностранных языков;

Форма допуска;

Оклад;

Технологическая информация:

-управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);

-технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);

-информация на съемных носителях информации (бумажные, магнитные, оптические и пр.), содержащие защищаемую технологическую информацию системы управления ресурсами или средств доступа к этим системам управления;

-информация о СЗПДн, их составе и структуре, принципах и технических решениях защиты;

-информационные ресурсы (базы данных, файлы и другие), содержащие информацию об информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;

-служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки Обрабатываемой информации.

Программно-технические средства обработки:

-общесистемное и специальное программное обеспечение, участвующее в обработке ПДн (операционные системы, СУБД, клиент-серверные приложения и другие);

-резервные копии общесистемного программного обеспечения;

-инструментальные средства и утилиты систем управления ресурсами ИСПДн;

-аппаратные средства обработки ПДн (АРМ и сервера);

-сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.).

Средства защиты ПДн:

-средства управления и разграничения доступа пользователей;

-средства обеспечения регистрации и учета действий с информацией;

средства, обеспечивающие целостность данных;

средства антивирусной защиты;

средства межсетевого экранирования;

средства анализа защищенности;

средства обнаружения вторжений;

-средства криптографической защиты ПДн, при их передачи по каналам связи сетей общего и (или) международного обмена.

-каналы информационного обмена и телекоммуникации.

-объекты и помещения, в которых размещены компоненты ИСПДн.

1ИСПДн «Регистр сахарного диабета»

1.1Обрабатываемая информация

В ИСПДн обрабатываются следующие персональные данные:

персональные данные субъектов ПДн (пациентов):

ФИО;

Дата рождения;

Адрес прописки;

Адрес фактического проживания;

Паспортные данные;

Данные о состоянии здоровья (история болезни).

Технологическая информация:

-управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);

-технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);

-информация на съемных носителях информации (бумажные, магнитные, оптические и пр.), содержащие защищаемую технологическую информацию системы управления ресурсами или средств доступа к этим системам управления;

-информация о СЗПДн, их составе и структуре, принципах и технических решениях защиты;

-информационные ресурсы (базы данных, файлы и другие), содержащие информацию об информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;

-служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки Обрабатываемой информации.

Программно-технические средства обработки:

-общесистемное и специальное программное обеспечение, участвующее в обработке ПДн (операционные системы, СУБД, клиент-серверные приложения и другие);

-резервные копии общесистемного программного обеспечения;

-инструментальные средства и утилиты систем управления ресурсами ИСПДн;

-аппаратные средства обработки ПДн (АРМ и сервера);

-сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.).

Средства защиты ПДн:

-средства управления и разграничения доступа пользователей;

-средства обеспечения регистрации и учета действий с информацией;

средства, обеспечивающие целостность данных;

средства антивирусной защиты;

средства межсетевого экранирования;

средства анализа защищенности;

средства обнаружения вторжений;

-средства криптографической защиты ПДн, при их передачи по каналам связи сетей общего и (или) международного обмена.

-каналы информационного обмена и телекоммуникации.

-объекты и помещения, в которых размещены компоненты ИСПДн.

1ИСПДн «Заявка ЛС»

1.1Обрабатываемая информация

В ИСПДн обрабатываются следующие персональные данные:

персональные данные субъектов ПДн (пациентов):

ФИО;

Дата рождения;

Адрес прописки;

Адрес фактического проживания;

Паспортные данные;

-Данные о состоянии здоровья (история болезни).

Технологическая информация:

-управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);

-технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);

-информация на съемных носителях информации (бумажные, магнитные, оптические и пр.), содержащие защищаемую технологическую информацию системы управления ресурсами или средств доступа к этим системам управления;

-информация о СЗПДн, их составе и структуре, принципах и технических решениях защиты;

-информационные ресурсы (базы данных, файлы и другие), содержащие информацию об информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;

-служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки Обрабатываемой информации.

Программно-технические средства обработки:

-общесистемное и специальное программное обеспечение, участвующее в обработке ПДн (операционные системы, СУБД, клиент-серверные приложения и другие);

-резервные копии общесистемного программного обеспечения;

-инструментальные средства и утилиты систем управления ресурсами ИСПДн;

-аппаратные средства обработки ПДн (АРМ и сервера);

-сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.).

Средства защиты ПДн:

-средства управления и разграничения доступа пользователей;

-средства обеспечения регистрации и учета действий с информацией;

средства, обеспечивающие целостность данных;

средства антивирусной защиты;

средства межсетевого экранирования;

средства анализа защищенности;

средства обнаружения вторжений;

-средства криптографической защиты ПДн, при их передачи по каналам связи сетей общего и (или) международного обмена.

-каналы информационного обмена и телекоммуникации.

объекты и помещения, в которых размещены компоненты ИСПДн.

1ИСПДн «Реестр-стационар»

1.1Обрабатываемая информация

В ИСПДн обрабатываются следующие персональные данные:

персональные данные субъектов ПДн (пациентов):

ФИО;

Дата рождения;

Контактный телефон;

Адрес прописки;

Адрес фактического проживания;

Паспортные данные;

-Данные о состоянии здоровья (история болезни).

персональные данные сотрудников:

Фамилия, имя, отчество;

Технологическая информация:

-управляющая информация (конфигурационные файлы, таблицы маршрутизации, настройки системы защиты и пр.);

-технологическая информация средств доступа к системам управления (аутентификационная информация, ключи и атрибуты доступа и др.);

-информация на съемных носителях информации (бумажные, магнитные, оптические и пр.), содержащие защищаемую технологическую информацию системы управления ресурсами или средств доступа к этим системам управления;

-информация о СЗПДн, их составе и структуре, принципах и технических решениях защиты;

-информационные ресурсы (базы данных, файлы и другие), содержащие информацию об информационно-телекоммуникационных системах, о служебном, телефонном, факсимильном, диспетчерском трафике, о событиях, произошедших с управляемыми объектами, о планах обеспечения бесперебойной работы и процедурах перехода к управлению в аварийных режимах;

-служебные данные (метаданные) появляющиеся при работе программного обеспечения, сообщений и протоколов межсетевого взаимодействия, в результате обработки Обрабатываемой информации.

Программно-технические средства обработки:

-общесистемное и специальное программное обеспечение, участвующее в обработке ПДн (операционные системы, СУБД, клиент-серверные приложения и другие);

-резервные копии общесистемного программного обеспечения;

-инструментальные средства и утилиты систем управления ресурсами ИСПДн;

-аппаратные средства обработки ПДн (АРМ и сервера);

-сетевое оборудование (концентраторы, коммутаторы, маршрутизаторы и т.п.).

Средства защиты ПДн:

-средства управления и разграничения доступа пользователей;

-средства обеспечения регистрации и учета действий с информацией;

средства, обеспечивающие целостность данных;

средства антивирусной защиты;

средства межсетевого экранирования;

средства анализа защищенности;

средства обнаружения вторжений;

-средства криптографической защиты ПДн, при их передачи по каналам связи сетей общего и (или) международного обмена.

-каналы информационного обмена и телекоммуникации.

-объекты и помещения, в которых размещены компоненты ИСПДн.

Приложение 3 к Положению о ПД »

Приложение № 3

к приказу от 09.01.2017 № 108

ПЕРЕЧЕНЬ ДОЛЖНОСТЕЙ СПЕЦИАЛИСТОВ, КОТОРЫМ РАЗРЕШЕН ДОСТУП В КАБИНЕТЫ, ГДЕ ИМЕЕТСЯ ИНФОРМАЦИЯ СОДЕРЖАЩАЯ ПЕРСОНАЛЬНЫЕ ДАННЫЕ СОТРУДНИКОВ И ПАЦИЕНТОВ КГБУЗ «Красноярская межрайонная больница № 2»

Отделение Должность специалиста
отдел кадров — работники отдела кадров
отдел учета и бухгалтерской отчетности — главный бухгалтер;

— заместители главного бухгалтера;

— заместитель главного врача по экономическим вопросам;

— кассир;

— экономисты ПЭО

кабинет учета и медицинской статистики — операторы ЭВМ;

— заведующий кабинетом учета и медицинской статистики;

— заместитель главного врача по АПР;

— заместитель главного врача по КЭР;

— заместитель главного врача по МЧ;

— заведующие структурными подразделениями;

— заведующие отделениями

кабинеты амбулаторного приема пациентов

КГБУЗ «КМБ № 2»

медицинские работники:

— заместители главного врача;

— заведующие структурными подразделениями;

— заведующие отделениями;

— врачи всех специальностей;

— медицинские сестры;

— медицинские регистраторы

кабинет заведующей кабинетом учета и медицинской статистики — заведующий кабинетом;

— медицинские статистики

отдел автоматизированных систем управления — начальник отдела ПО;

— сотрудники отдела ПО

регистратура медицинские работники:

— заместители главного врача;

— заведующие структурными подразделениями;

— заведующие отделениями;

— врачи всех специальностей;

— медицинские сестры;

— медицинские регистраторы

архив медицинский медицинские работники:

— заместители главного врача;

— заведующие структурными подразделениями;

— заведующие отделениями;

— врачи всех специальностей;

— медицинские сестры;

— медицинские регистраторы

Главному врачу учреждения разрешен доступ во все кабинеты, где  находятся персональные данные пациентов, а также работников.