Политика учреждения по защите персональных данных
СОДЕРЖАНИЕ
ГЛАВА 1 Общие положения
ГЛАВА 2 Законодательные и иные нормативные правовые акты Республики Беларусь, в соответствии с которыми определяется Политика обработки персональных данных в учреждении
ГЛАВА 3 Принципы и цели обработки персональных данных
ГЛАВА 4 Перечень субъектов, персональные данные которых обрабатываются в учреждении
ГЛАВА 5 Перечень персональных данных, обрабатываемых в учреждении
ГЛАВА 6 Основные функции учреждения при осуществлении обработки персональных данных
ГЛАВА 7 Условия и способы обработки персональных данных в учреждении
ГЛАВА 8 Перечень действий с персональными данными и способы их обработки
ГЛАВА 9 Права и обязанности субъектов персональных данных
ГЛАВА 10 Основные меры по обеспечению защиты персональных данных, предпринимаемые учреждением при осуществлении обработки персональных данных
ГЛАВА 11 Основные функции должностного лица учреждения, ответственного за организацию работы в области защиты персональных данных
ГЛАВА 12 Контроль за соблюдением законодательства и локальных правовых актов при обработке персональных данных. Ответственность
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
- 1.1 Политика государственного учреждения здравоохранения (далее - ГУЗ) «Гомельская городская клиническая больница №4» в отношении обработки персональных данных (далее - Политика) разработана с учетом требований Конституции Республики Беларусь, законодательных и иных нормативных правовых актов Республики Беларусь, локальных правовых актов ГУЗ «Гомельская городская клиническая больница №4» (далее - ЛПА) в области персональных данных.
1.2 Настоящая Политика определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в ГУЗ «Гомельская городская клиническая больница №4» (далее - учреждение) персональных данных, функции учреждения при обработке персональных данных, права субъектов персональных данных, а также реализуемые в учреждении требования к защите персональных данных.
Требования настоящей Политики обязательны для исполнения всеми работниками учреждения, получившими в установленном порядке доступ к персональным данным.
При внесении изменений в акты законодательства, а также в случае принятия иных нормативных правовых актов по вопросам, регулируемым настоящей Политикой, необходимо руководствоваться такими изменениями, иными нормативными правовыми актами до внесения соответствующих изменений в настоящую Политику.
1.3 Учреждение, являясь оператором персональных данных, а в ряде случаев - уполномоченным лицом, осуществляет обработку персональных данных физических лиц, являющихся работниками учреждения, обработку персональных данных пациентов и контрагентов учреждения, а также других субъектов персональных данных, обработка персональных данных которых предусматривается на основании целей, предмета деятельности, прав, обязанностей учреждения, определенных Уставом, иными ЛПА, договорами учреждения и нормативными правовыми актами.
1.4 Положения настоящей Политики служат основой для разработки ЛПА, регламентирующих в учреждении вопросы обработки, защиты, обеспечения конфиденциальности персональных данных.
1.5 Для целей настоящей Политики нижеприведенные термины используются в следующих значениях:
- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники (автоматизации);
- биометрические персональные данные - информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и др.);
- блокирование персональных данных - прекращение доступа к персональным данным без их удаления;
- генетические персональные данные - информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца;
- информация - сведения (сообщения, данные) независимо от формы их представления;
- информационный ресурс - информация с реквизитами, позволяющими ее идентифицировать;
имеющая ценность для учреждения;находящаяся в распоряжении учреждения и представленная на любом материальном носителе в форме, пригодной для ее обработки, хранения или передачи;
- кандидат - физическое лицо, претендующее на вакантную должность в учреждении;
- контрагент - физическое или юридическое лицо, в том числе индивидуальный предприниматель, выступающие одной из сторон сделки;
- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
- обработка персональных данных - любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;
- общедоступные персональные данные - персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов;
- оператор - государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель (далее, если не определено иное, - физическое лицо), самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных;
- пациент - физическое лицо, обратившееся за медицинской помощью, находящееся под медицинским наблюдением либо получающее медицинскую помощь;
- персональные данные - любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
- предоставление персональных данных - действия, направленные на ознакомление с персональными данными определенного лица или круга лиц;
- распространение персональных данных - действия, направленные на ознакомление с персональными данными неопределенного круга лиц;
- специальные персональные данные - персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные;
- субъект персональных данных - физическое лицо, в отношении которого осуществляется обработка персональных данных;
- трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства;
- удаление персональных данных - действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;
- уполномоченное лицо - государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением оператора, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах;
- физическое лицо, которое может быть идентифицировано, - физическое лицо, которое может быть прямо или косвенно определено, в частности, через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.
ГЛАВА 2
ЗАКОНОДАТЕЛЬНЫЕ И ИНЫЕ НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ РЕСПУБЛИКИ БЕЛАРУСЬ, В СООТВЕТСТВИИ С КОТОРЫМИ
ОПРЕДЕЛЯЕТСЯ ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В УЧРЕЖДЕНИИ
2.1 Политика обработки персональных данных в учреждении определяется в соответствии со следующими нормативными правовыми актами:
Конституция Республики Беларусь;
Трудовой кодекс Республики Беларусь;
Закон Республики Беларусь от 07.05.2021 №99-З "О защите персональных данных" (далее - Закон о защите персональных данных);
Закон Республики Беларусь от 10.11.2008 №455-З "Об информации, информатизации и защите информации";
Закон Республики Беларусь от 18.06.1993 №2435-XII «О здравоохранении» с изменениями от 11.12.2020;
Постановление Министерства здравоохранения Республики Беларусь от 07.06.2021 № 74 «О формах и порядке дачи и отзыва согласия на внесение и обработку персональных данных пациента» (далее - постановление МЗ РБ от 07.06.2021 №74);
Постановление Министерства здравоохранения Республики Беларусь от 28.05.2021 № 64 «Об утверждении Инструкции о порядке обезличивания персональных данных лиц, которым оказывается медицинская помощь»;
иные нормативные правовые акты Республики Беларусь и нормативные документы уполномоченных органов государственной власти;
Приказ Министерства здравоохранения Республики Беларусь от 25.05.2018 №536 «О некоторых вопросах формирования интегрированных электронных медицинских карт в Республике Беларусь»;
Устав учреждения;
иные нормативные правовые акты Республики Беларусь и нормативные документы уполномоченных органов государственной власти.
2.2 В целях реализации положений Политики в учреждении разрабатываются соответствующие локальные правовые акты и иные документы, в том числе:
- Положение об обработке и защите персональных данных в учреждении;
- Положение о порядке доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
- Положение о порядке обеспечения конфиденциальности при обработке информации, содержащей персональные данные;
- иные локальные правовые акты и документы, регламентирующие в учреждении вопросы обработки персональных данных.
ГЛАВА 3
ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1 Государственное учреждение здравоохранения «Гомельская городская клиническая больница №4», расположенное по адресу: г.Гомель, ул.Беляева, 2, являясь оператором персональных данных, осуществляет обработку персональных данных с учетом необходимости обеспечения защиты прав и свобод работников учреждения, пациентов и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
3.1.1 обработка персональных данных осуществляется на законной и справедливой основе;
3.1.2.обработка персональных данных осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;
3.1.3.обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами;
3.1.4.обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;
3.1.5.содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
3.1.6.обработка персональных данных носит прозрачный характер. Субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных в порядке и на условиях, установленных законодательством;
3.1.7.обеспечивается принятие необходимых и достаточных мер по защите персональных данных от неправомерного (несанкционированного или случайного) доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления, а также от иных неправомерных действий;
3.1.8.оператор принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;
3.1.9.хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
3.2.Персональные данные обрабатываются в учреждении в целях:
3.2.1.обеспечения соблюдения Конституции Республики Беларусь, законодательных и иных нормативных правовых актов Республики Беларусь, ЛПА учреждения;
3.2.2.осуществления функций, полномочий и обязанностей, возложенных на учреждение законодательством Республики Беларусь и Уставом, в том числе по предоставлению персональных данных в органы государственной власти, в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, а также в иные государственные органы;
3.2.3.регулирования трудовых отношений с работниками учреждения (содействие в трудоустройстве, обучение и продвижение по службе, ведения кадрового резерва, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества и материальных ценностей, предотвращения правонарушений и иных целей);
3.2.4.организации оказания медицинской помощи населению;
3.2.5.обеспечения защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
3.2.6.подготовки, заключения, исполнения и прекращения договоров с пациентами и контрагентами;
3.2.7.выявления конфликта интересов;
3.2.8.осуществления функций, полномочий и обязанностей, возложенных законодательством на учреждение, в том числе по предоставлению персональных данных третьим лицам;
3.2.9.исполнения обязанности налогового агента;
3.2.10.раскрытия иной информации в объемах и порядке, установленном законодательством;
3.2.11.формирования статистических данных;
3.2.12.формирования справочных и аналитических материалов для внутреннего информационного обеспечения деятельности учреждения в рамках выполнения стоящих перед ним задач;
3.2.13.исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Беларусь об исполнительном производстве;
3.2.14.осуществления прав и законных интересов учреждения в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными правовыми актами учреждения, либо достижения общественно значимых целей;
3.2.15.оформления первичной медицинской документации на бумажном носителе, формирование электронной медицинской карты пациента, информационных систем, информационных ресурсов, баз (банков) данных, реестров (регистров) в здравоохранении; диагностика постановки диагноза, установление заболевания, лечения, проведение медицинской абилитации, оказания медицинской помощи, медицинской профилактики, проведение медицинской реабилитации, диспансерного учета;
3.2.16.установления с пациентами обратной связи, включая направление уведомлений, запросов, связанных с оказанием медицинской помощи,
3.2.17.прохождением обследования, проведения медицинских исследований, и т.д.;
3.2.18.в иных законных целях.
ГЛАВА 4
ПЕРЕЧЕНЬ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ В УЧРЕЖДЕНИИ
4.1.В учреждении обрабатываются персональные данные следующих категорий субъектов:
- кандидатов на рабочие места;
- работников учреждения и их близких родственников (свойственников), в том числе уволившихся работников;
пациентов;
- лиц, указанных в части 2 статьи 18 Закона Республики Беларусь «О здравоохранении»;
- контрагентов учреждения и лиц, представляющих в порядке, установленном законодательством, их интересы;
- физических лиц, с которыми учреждение заключило (планирует заключить) договоры гражданско-правового характера;
- других субъектов персональных данных, обработка персональных данных которых учреждением предусмотрена в соответствии с законодательством и ЛПА с учетом целей обработки указанных в главе 3 настоящей Политики.
ГЛАВА 5
ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В УЧРЕЖДЕНИИ
5.1.Перечень персональных данных, обрабатываемых в учреждении, определяется в соответствии с законодательством Республики Беларусь и локальными правовыми актами учреждения с учетом целей обработки персональных данных, указанных в главе 3 настоящей Политики.
5.2.Персональные данные кандидатов на рабочие места могут включать:
- фамилию, имя, отчество (а также все предыдущие фамилии);
- дату и место рождения;
- гражданство;
- паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.);
- пол;
- сведения о семейном положении и составе семьи с указанием фамилии, имен и отчеств членов семьи, даты рождения, места работы и (или) учебы;
- сведения о регистрации по месту жительства (включая адрес, дату регистрации);
- сведения о месте фактического проживания;
- номер и серия страхового свидетельства государственного социального страхования;
- данные об образовании, повышении квалификации и профессиональной переподготовке, ученой степени, ученом звании;
- сведения о трудовой деятельности (включая стаж и опыт работы, данные о занятости с указанием должности, подразделения, сведений о работодателе и др.);
- специальность, профессия, квалификация; сведения о воинском учете; идентификационный номер налогоплательщика;
- сведения медицинского характера (в случаях, предусмотренных законодательством);
- биометрические персональные данные (включая фотографии, изображения с камер видеонаблюдения, записи голоса);
- сведения о социальных льготах и выплатах;
- контактные данные (включая номера домашнего и/или мобильного телефона, электронной почты и др.);
- сведения о награждениях и поощрениях;
- сведения, предоставленные самим кандидатом в ходе заполнения
- личностных опросников и прохождения мероприятий по психометрическому тестированию, а также результаты такого тестирования (психометрический профиль, способности и характеристики);
- иные данные, которые могут быть указаны в резюме или анкете кандидата.
5.3.Персональные данные работников учреждения могут включать:
- фамилию, имя, отчество (а также все предыдущие фамилии); дату и место рождения;
- гражданство;
- паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.);
- данные виз и иных документов миграционного учета;
- номер и серия страхового свидетельства государственного социального страхования;
- пол;
- сведения о регистрации по месту жительства (включая адрес, дату регистрации);
- сведения о месте фактического пребывания;
- биометрические персональные данные (включая фотографии, изображения с камер видеонаблюдения, записи голоса);
- сведения о социальных льготах и выплатах;
- сведения медицинского характера (в случаях, предусмотренных законодательством);
- сведения о социальных льготах и выплатах;
- данные (включая номера рабочего и (или) мобильного телефона, электронной почты и др.);
- данные о родителях, опекунах, попечителях, семейном положении, супруге, ребенке (детях);
- данные об образовании, повышении квалификации и профессиональной переподготовке, ученой степени, ученом звании;
- данные о специальности, профессии, квалификации;
- идентификационный номер налогоплательщика;
- сведения о трудовой деятельности (включая стаж и опыт работы,
- данные о занятости с указанием должности, подразделения, сведений о работодателе и др.);
- данные об исполнении воинской обязанности; данные об инвалидности;
- иные данные, необходимые для исполнения взаимных прав и обязанностей.
5.4.Персональные данные родственников работников могут включать:
- фамилию, имя, отчество;
- дату рождения; гражданство; степень родства;
- паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.);
- сведения о регистрации по месту жительства (включая адрес, дату регистрации);
- сведения о месте фактического проживания;
- сведения медицинского характера (в случаях, предусмотренных законодательством);
- сведения о социальных льготах и выплатах;
- контактные данные (включая номера рабочего, домашнего и/нли мобильного телефона, электронной почты и др.);
- иные данные, необходимые для исполнения взаимных прав и обязанностей.
5.5.Персональные и иные данные пациентов, а также лиц, указанных в части 2 статьи 18 Закона Республики Беларусь «О здравоохранении» могут включать:
- фамилию, имя, отчество;
- гражданство;
- дату рождения;
- паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.);
- сведения о регистрации по месту жительства (включая адрес, дату регистрации);
- сведения о месте фактического проживания;
- контактные данные (включая номера рабочего, домашнего и (или) мобильного телефона, электронной почты и др.);
- сведения о трудовой деятельности (место работы, должности);
- сведения о социальных льготах;
- пол;
- рост, вес;
- биометрические персональные данные (включая фотографии, изображения с камер видеонаблюдения, записи голоса);
- генетические персональные данные;
- медицинские данные: семейный анамнез;
- анамнез жизни;
- аллергологический анамнез;
- сведения о лекарственной непереносимости;
- сведения о реакции на ИЛС;
- трансфузиологический анамнез;
- акушерско-гинекологический анамнез (для женщин);
- метрические данные;
- сведения о профилактических прививках;
- заключительные (уточненные) диагнозы;
- сведения о лабораторных исследованиях, лучевых и радиологических исследованиях, функциональных исследованиях;
- сведения об оперативных вмешательствах;
- сведения об оказании скорой и неотложной медицинской помощи;
- сведения о лекарственном обеспечении и обеспечении изделиями медицинского назначения;
- сведения о немедикаментозном лечении;
- сведения о физиотерапевтическом лечении;
- сведения о назначении\проведении ЛФК и массажа;
- о проводимых нетрадиционных методах
- сведения о назначении\проведении лучевой терапии;
- сведения о вопросах диспансеризации;
- сведения о временной нетрудоспособности;
- сведения об инвалидности;
- информация, вносимая в регистры;
- информация, составляющая врачебную тайну (факт обращения за медицинской помощью; состояние здоровья; сведения о наличии заболеваний; диагноз; методы оказания медицинской помощи; риски, связанные с медицинским вмешательством; альтернативы предполагаемому медицинскому вмешательству; иные сведения личного характера; информация о результатах патологоанатомического исследования);
иные данные, необходимые для организации оказания медицинской помощи пациентам, регистрации и рассмотрения их обращений.
5.6.Персональные данные контрагентов учреждения и лиц, представляющих в порядке, установленном законодательством, их интересы,могут включать:
- фамилию, имя, отчество;
- паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.);
- сведения о регистрации по месту жительства, по месту фактического проживания (включая адрес, дату регистрации);
- данные (включая номера рабочего, домашнего и (или) мобильного телефона, электронной почты и др.);
должность;
- иные данные, необходимые для исполнения взаимных прав и обязанностей между Учреждением и контрагентом.
5.7.Персональные данные физических лиц, с которыми учреждение заключило (планирует заключить) договоры гражданско-правового характера могут включать:
- фамилию, имя, отчество;
- дата рождения;
- гражданство;
- паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, - дата выдачи, наименование органа, выдавшего документ, и др.);
- о регистрации по месту жительства, о месте фактического проживания (включая адрес, дату регистрации);
- номер и серия страхового свидетельства государственного социального страхования;
- реквизиты банковского счета;
- данные (включая номера домашнего и (или) мобильного телефона, электронной почты и др.);
- иные данные, необходимые для исполнения взаимных прав и обязанностей между учреждением и контрагентом.
5.8.Персональные данные других субъектов могут включать:
- имя, отчество;
- контактные данные (включая номера домашнего и (или) мобильного телефона, электронной почты и др.);
- паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.);
- сведения о регистрации по месту жительства, место фактического проживания (включая адрес, дату регистрации);
- номер и серию страхового свидетельства государственного социального страхования;
- данные об образовании, повышении квалификации и профессиональной переподготовке, ученой степени, ученом звании;
- реквизиты банковского счета; идентификационный номер налогоплательщика;
- специальность, профессию, квалификацию;
- иные данные, необходимые для исполнения взаимных прав и обязанностей.
5.9.Перечень персональных данных, указанных в настоящей главе не является исчерпывающим и может быть дополнен при необходимости.
ГЛАВА 6
ОСНОВНЫЕ ФУНКЦИИ УЧРЕЖДЕНИЯ ПРИ ОСУЩЕСТВЛЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1.Учреждение при осуществлении обработки персональных данных:
6.1.1.принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Республики Беларусь и локальных правовых актов учреждения в области персональных данных;
6.1.2.принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
6.1.3.назначает лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных;
6.1.4.издает локальные правовые акты, определяющие политику и вопросы обработки и защиты персональных данных в учреждении;
6.1.5.осуществляет ознакомление работников учреждения, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Республики Беларусь и локальных правовых актов учреждения в области персональных данных, в том числе требованиями к защите персональных данных, и обучение указанных работников;
6.1.6.обеспечивает неограниченный доступ к настоящей Политике путем размещения на официальном сайте учреждения и в общем доступе локальной компьютерной сети;
6.1.7.сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Республики Беларусь;
6.1.8.прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Республики Беларусь в области персональных данных;
6.1.9.совершает иные действия, предусмотренные законодательством Республики Беларусь в области персональных данных.
ГЛАВА 7
УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В УЧРЕЖДЕНИИ
7.1.Обработка персональных данных в учреждении осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Республики Беларусь в области персональных данных.
7.2.Учреждение без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством Республики Беларусь.
7.3.ГУЗ «Гомельская городская клиническая больница №4» вправе поручить обработку персональных данных от имени учреждения или в его интересах уполномоченному лицу на основании заключаемого с этим лицом договора.
Договор должен содержать:
- цели обработки персональных данных;
- перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;
- обязанности по соблюдению конфиденциальности персональных данных;
- меры по обеспечению защиты персональных данных в соответствии со ст. 17 Закона о защите персональных данных.
Уполномоченное лицо не обязано получать согласие субъекта персональных данных. Если для обработки персональных данных по поручению учреждения необходимо получение согласия субъекта персональных данных, такое согласие получает учреждение.
7.4.В целях внутреннего информационного обеспечения учреждение может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных (за исключением работников учреждения), если иное не предусмотрено законодательством Республики Беларусь, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, адрес, абонентский номер, адрес электронной почты, иные персональные данные, в том числе специальные, сообщаемые субъектом персональных данных.
7.5.Доступ к обрабатываемым в учреждении персональным данным разрешается только работникам учреждения, занимающим должности, включенные в перечень должностей, имеющим доступ к персональным данным.
ГЛАВА 8
ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ И СПОСОБЫ ИХ ОБРАБОТКИ
8.1.Учреждение осуществляет обработку персональных данных (любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных).
8.2.Обработка персональных данных в учреждении осуществляется следующими способами:
- с использованием средств автоматизации;
- использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.);
- способом, в том числе с использованием внутренней компьютерной сети и сети Интернет.
ГЛАВА 9
ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1.Субъекты персональных данных имеют право на:
9.1.1.отзыв согласия субъекта персональных данных путем подачи в учреждение соответствующего заявления в установленном ст.14 Закона о защите персональных данных порядке;
9.1.2.отзыв согласия на внесение и обработку персональных данных пациента, информации, составляющей врачебную тайну, при формировании электронной медицинской карты пациента, информационной системы путем подачи в учреждение соответствующего заявления в установленном порядке по форме согласно постановлению Министерства здравоохранения Республики Беларусь от 07.06.2021 №74;
9.1.3.получение информации, касающейся обработки персональных данных, путем подачи в учреждение соответствующего заявления в установленном ст.14 Закона о защите персональных данных порядке, содержащей:
- наименование и место нахождения учреждения;
- подтверждение факта обработки персональных данных учреждением (уполномоченным лицом);
- его персональные данные и источник их получения;
- правовые основания и цели обработки персональных данных;
- срок, на который дано его согласие;
- наименование и место нахождения уполномоченного лица, которое является государственным органом, юридическим лицом Республики Беларусь, иной организацией, если обработка персональных данных поручена такому лицу;
- иную информацию, предусмотренную законодательством.
Предоставляется такая информация бесплатно, за исключением случаев, предусмотренных законодательными актами;
9.1.4.требование о внесении изменений в свои персональные данные в случае, если они являются неполными, устаревшими или неточными путем подачи в учреждение соответствующего заявления в установленном ст.14 Закона о защите персональных данных порядке с приложением соответствующих документов и (или) их заверенных в установленном порядке копий, подтверждающих необходимость внесения изменений в персональные данные;
9.1.5.получение от учреждения информации о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно, если иное не предусмотрено Законом о защите персональных данных и иными законодательными актами, путем подачи соответствующего заявления в учреждение в установленном ст.14 Закона о защите персональных данных порядке;
9.1.6.требование бесплатного прекращения обработки персональных данных и (или) их удаления при отсутствии оснований для обработки персональных данных, предусмотренных Законом о защите персональных данных и иными законодательными актами путем подачи соответствующего заявления оператору в установленном ст.14 Закона о защите персональных данных порядке;
9.1.7.обжалование действий (бездействия) и решений учреждения, нарушающих права субъекта персональных данных при обработке персональных данных в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращении граждан и юридических лиц.
9.2.Право субъекта на доступ к его персональным данным может быть ограничено в соответствии с законодательством Республики Беларусь.
9.3.Рассмотрение обращений субъектов или их представителей в связи с обработкой их персональных данных осуществляется в соответствии с Законом Республики Беларусь от 18.07.2011 №300-З «Об обращениях граждан и юридических лиц».
9.4.Субъекты персональных данных обязаны:
предоставлять в учреждение достоверные персональные данные;
своевременно сообщать в учреждение об изменениях и дополнениях своих персональных данных;
осуществлять свои права в соответствии с законодательством Республики Беларусь и ЛПА учреждения в области обработки и защиты персональных данных;
исполнять иные обязанности, предусмотренные законодательством Республики Беларусь и локальными правовыми актами учреждения в области обработки и защиты персональных данных.
ГЛАВА 10
ОСНОВНЫЕ МЕРЫ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ, ПРЕДПРИНИМАЕМЫЕ УЧРЕЖДЕНИЕМ ПРИ ОСУЩЕСТВЛЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1.Учреждение при осуществлении обработки персональных данных принимает меры, необходимые и достаточные для обеспечения выполнения учреждением обязанностей оператора, предусмотренных законодательством Республики Беларусь в области персональных данных, в том числе:
10.1.1.предоставление субъектам персональных данных необходимой информации до получения их согласий на обработку персональных данных;
10.1.2.разъясняет субъектам персональных данных их права, связанные с обработкой персональных данных;
10.1.3.получает письменные согласия субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством;
10.1.4.получает письменные согласия пациента или лиц, указанных в части второй статьи 18 Закона Республики Беларусь "О здравоохранении", на внесение и обработку персональных данных пациента, информации, составляющей врачебную тайну, перед внесением таких данных в электронную медицинскую карту пациента, информационную систему;
10.1.5.обеспечивает информирование субъектов персональных данных пациентов или лиц, указанных в части второй статьи 18 Закона Республики Беларусь "О здравоохранении", о праве на отказ от внесения информации, составляющей врачебную тайну, в централизованную информационную систему здравоохранения (далее - ЦИСЗ) при первичной регистрации в ЦИСЗ;
10.1.6.обеспечивает защиту персональных данных в процессе их обработки;
10.1.7.определяет должностное лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных;
10.1.8.назначает работников структурных подразделений учреждения, ответственных за соблюдение требований законодательства Республики Беларусь и локальных нормативных актов учреждения в области персональных данных в соответствующих подразделениях;
10.1.9.принимает ЛПА, определяющие вопросы обработки и защиты персональных данных;
10.1.10.определяет перечень должностей работников, осуществляющих обработку персональных данных, структурные подразделения учреждения, осуществляющие обработку персональных данных;
10.1.11.обеспечивает:
ознакомление работников, непосредственно осуществляющих обработку персональных данных в учреждении, с требованиями законодательства о персональных данных, ЛПА, определяющими политику учреждения в отношении обработки персональных данных;
неограниченный доступ, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику учреждения в отношении обработки персональных данных, до начала такой обработки;
устанавливает порядок доступа к персональным данным, в том числе обрабатываемым в информационных ресурсах (системах);
организует реализацию права субъектом персональных данных на получение информации, касающейся обработки персональных данных данного субъекта, а также реализацию иных прав субъектов персональных данных в соответствии с Законом о защите персональных данных;
10.1.12.обеспечивает в установленном порядке:
техническую и криптографическую защиту персональных данных в учреждении в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные;
прекращение обработки персональных данных, а также их удаление или блокирование, а равно обеспечивает прекращение обработки персональных данных и их удаление или блокирование уполномоченным лицом при отсутствии оснований для обработки персональных данных, предусмотренных Законом о защите персональных данных и иными законодательными актами;
изменение, блокирование или удаление недостоверных или полученных незаконным путем персональных данных субъекта персональных данных, в том числе по требованию уполномоченного органа (если иной порядок внесения изменений в персональные данные, их блокирования или удаления не установлен законодательными актами);
хранение персональных данных в форме, позволяющей идентифицировать субъектов персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных;
незамедлительное уведомление уполномоченного органа по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных, но не позднее 3 рабочих дней после того, как учреждению стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;
10.1.13.реализует иные мероприятия, предусмотренные законодательством в области обработки персональных данных.
10.1.Меры по обеспечению безопасности персональных данных при их обработке в информационных системах устанавливаются в соответствии с ЛПА учреждения, регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах учреждения.
ГЛАВА 11
ОСНОВНЫЕ ФУНКЦИИ И ПРАВА ДОЛЖНОСТНОГО ЛИЦА УЧРЕЖДЕНИЯ, ОТВЕТСТВЕННОГО ЗА ОСУЩЕСТВЛЕНИЕ ВНУТРЕННЕГО КОНТРОЛЯ ЗА ОБРАБОТКОЙ ПЕРСОНАЛЬНЫХ ДАННЫХ
11.1.Организация работы по осуществлению внутреннего контроля за обработкой персональных данных возлагается приказом главного врача на должностных лиц.
11.2.Организация работы по осуществлению внутреннего контроля за обработкой персональных данных включает в себя:
11.2.1.разработка ЛПА по вопросам защиты персональных данных;
11.2.2.мониторинг соблюдения в структурных подразделениях учреждения требований законодательства и ЛПА в сфере защиты персональных данных, а также контроль наличия в указанных подразделениях условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ;
11.2.3.внесение в установленном порядке должностным лицам и (или) главному врачу учреждения предложений по принятию дополнительных мер, направленных на обеспечение защиты персональных данных;
11.2.4.организация ознакомления работников учреждения и иных лиц, непосредственно осуществляющих обработку персональных данных, с нормами законодательства и ЛПА в сфере защиты персональных данных, в том числе с требованиями по защите персональных данных, ЛПА, определяющими политику учреждения в отношении обработки персональных данных;
11.2.5.внесение предложений о назначении работников структурных подразделений учреждения, ответственных за реализацию настоящей Политики и иных ЛПА по вопросам защиты персональных данных в соответствующих структурных подразделениях.
11.3.Должностное лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных вправе:
11.3.1.запрашивать и получать в установленном порядке от структурных подразделений учреждения сведения и материалы, необходимые для надлежащего выполнения функций, определенных настоящей Политикой и иными ЛПА в сфере защиты персональных данных;
11.3.2.вносить на рассмотрение предложения, направленные на устранение причин и условий, способствующих совершению нарушений законодательства и ЛПА в сфере защиты персональных данных, а также на совершенствование внутреннего контроля за обработкой персональных данных;
11.3.3.принимать участие в мероприятиях, проводимых в структурных подразделениях учреждения по вопросам, касающимся обеспечения защиты персональных данных;
11.3.4.требовать от структурных подразделений и должностных лиц учреждения принятия в соответствии с компетенцией необходимых мер к соблюдению требований законодательства и ЛПА в сфере защиты персональных данных;
11.3.5.привлекать работников учреждения, обладающих необходимыми знаниями и компетенцией в технической или в иных сферах, к обучению работников учреждения и иных лиц, непосредственно осуществляющих обработку персональных данных, с применяемыми в учреждении мерами по защите персональных данных;
11.3.6.вносить в установленном порядке предложения о привлечении к дисциплинарной ответственности работников, нарушивших требования законодательства и ЛПА в сфере защиты персональных данных;
11.3.7.выполнять иные обязанности, предусмотренные ЛПА и организационно-распорядительными документами учреждения.
11.4.Функции, права и обязанности структурных подразделений учреждения, должностных лиц при обработке и осуществлении защиты персональных данных определяются ЛПА.
ГЛАВА 12
КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА И ЛОКАЛЬНЫХ ПРАВОВЫХ АКТОВ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ. ОТВЕТСТВЕННОСТЬ
12.1.Контроль за соблюдением в учреждении законодательства Республики Беларусь и локальных правовых актов учреждения в области персональных данных, в том числе требований к защите персональных данных, осуществляется с целью обеспечения соответствия обработки персональных данных в учреждении законодательству Республики Беларусь и ЛПА учреждения в области персональных данных, в том числе требованиям к защите персональных данных, а также принятых мер, направленных на предотвращение и выявление нарушений законодательства Республики Беларусь в области персональных данных, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.
12.2.Внутренний контроль за соблюдением в учреждении законодательства Республики Беларусь и ЛПА учреждения в области персональных данных, в том числе требований к защите персональных данных, осуществляется лицом, ответственным за организацию обработки персональных данных в учреждении.
12.3.Персональная ответственность за соблюдение требований законодательства Республики Беларусь и локальных нормативных актов учреждения в области персональных данных, а также за обеспечение конфиденциальности и безопасности персональных данных в структурных подразделениях учреждения возлагается на их непосредственных руководителей.
12.4.За нарушение законодательства и ЛПА при обработке персональных данных работники учреждения, по чьей вине произошло такое нарушение, в зависимости от характера и степени нарушения могут быть привлечены к гражданско-правовой, дисциплинарной, административной или уголовной ответственности в порядке, установленном законодательством Республики Беларусь.
1) цели обработки персональных данных - обеспечение соблюдения требований законодательства о защите персональных данных, а также для целей, определенных в ПОЛИТИКЕ учреждения здравоохранения «Гомельская городская клиническая больница №4» в отношении обработки персональных данных, размещенных на официальном сайте учреждения - gyzggb4.by.
2) перечень персональных данных, на обработку которых запрашивается Ваше согласие:
фамилия, собственное имя, отчество (если таковое имеется); пол; число, месяц, год рождения; место рождения;
данные документа, удостоверяющего личность:
серия, номер, дата выдачи и кем выдан, идентификационный номер;
данные о гражданстве (подданстве);
данные о регистрации по месту жительства и (или) месту пребывания;
данные о родителях, опекунах, попечителях, супруге, ребенке (детях) физического лица;
контактный телефон; адрес электронной почты;
иные персональные данные в зависимости от цели, для которой они испрашиваются.
3) срок, на который дается Ваше согласие определяется в зависимости от цели, для которой оно испрашивается;
4) ответственное лицо, которое будет осуществлять обработку персональных данных определяется в соответствии с Положением об обработке и защите персональных данных в государственном учреждении здравоохранения «Гомельская городская клиническая больница №4».
5) перечень действий с персональными данными, на совершение которых Вами дается согласие: любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных
оператором, осуществляющим обработку персональных данных (далее - Оператор) и в соответствии со статьей 16 Закона Республики Беларусь от 07.05.2021 N 99-З «О защите персональных данных» разъясняет, что Вы, как субъект персональных данных вправе:
1)в любое время без объяснения причин отозвать свое согласие на обработку персональных данных посредством подачи лицу, ответственному за обработку персональных данных, определяемому в соответствии с Положением о правовом режиме защиты персональных данных в государственном учреждении здравоохранения «Гомельская городская клиническая больница №4», заявления в письменной форме либо в виде электронного документа, которое должно содержать:
фамилию, собственное имя, отчество (если таковое имеется);
адрес Вашего места жительства (места пребывания);
дату Вашего рождения;
Ваш идентификационный номер, при отсутствии такого номера - номер документа, удостоверяющего личность;
изложение сути Ваших требований как субъекта персональных данных;
Вашу личную подпись либо электронную цифровую.
Оператор обязан в 15-дневный срок после получения Вашего заявления в соответствии с его содержанием прекратить обработку Ваших персональных данных, осуществить их удаление и уведомить об этом Вас, если отсутствуют иные основания для таких действий с персональными данными, предусмотренные законодательными актами.
При отсутствии технической возможности удаления персональных данных оператор обязан принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить об этом Вас в тот же срок.
2)на получение информации, касающейся обработки Ваших персональных данных, содержащей:
наименование (фамилию, собственное имя, отчество (если таковое имеется)) и место нахождения (адрес места жительства (места пребывания)) оператора;
подтверждение факта обработки персональных данных оператором (уполномоченным лицом);
Ваши персональные данные и источник их получения;
правовые основания и цели обработки персональных данных;
срок, на который дано согласие обработки персональных данных;
наименование и место нахождения уполномоченного лица, если обработка персональных данных поручена такому лицу;
иную информацию, предусмотренную законодательством.
Для получения указанной информации Вы должны подать Оператору заявление. При этом Вы не должны обосновывать свой интерес к запрашиваемой информации.
Оператор обязан в течение 5 рабочих дней после получения Вашего заявления предоставить Вам в доступной форме информацию либо уведомить Вас о причинах отказа в ее предоставлении. Предоставляется такая информация Вам бесплатно, за исключением случаев, предусмотренных законодательными актами.
3)требовать от Оператора внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными.
В этих целях Вы подаете Оператору заявление с приложением соответствующих документов и (или) их заверенных в установленном порядке копий, подтверждающих необходимость внесения изменений в персональные данные.
Оператор обязан в 15-дневный срок после получения Вашего заявления внести соответствующие изменения в Ваши персональные данные и уведомить об этом Вас либо уведомить Вас о причинах отказа во внесении таких изменений, если иной порядок внесения изменений в персональные данные не установлен законодательными актами.
4)получать от Оператора информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно, если иное не предусмотрено иными законодательными актами.
Для получения указанной информации Вы должны подать заявление оператору. Оператор обязан в 15-дневный срок после получения Вашего заявления предоставить Вам информацию о том, какие Ваши персональные данные и кому предоставлялись в течение года, предшествовавшего дате подачи заявления, либо уведомить Вас о причинах отказа в ее предоставлении.
Указанная информация может не предоставляться в случаях, предусмотренных пунктом 3 статьи 11 Закона Республики Беларусь от 07.05.2021 N 99-З «О защите персональных данных», а также если обработка персональных данных осуществляется в соответствии с законодательством об исполнительном производстве, при осуществлении правосудия и организации деятельности судов общей юрисдикции.
5)требовать от Оператора бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных законодательными актами.
Для реализации указанного права Вы должны подать оператору заявление.
Оператор в этом случае обязан в 15-дневный срок после получения Вашего заявления прекратить обработку персональных данных, а также осуществить их удаление (обеспечить прекращение обработки персональных данных, а также их удаление уполномоченным лицом) и уведомить об этом Вас.
При отсутствии технической возможности удаления персональных данных оператор обязан принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить об этом Вас в тот же срок.
Оператор вправе отказать Вам в удовлетворении требований о прекращении обработки Ваших персональных данных и (или) их удалении при наличии оснований для обработки персональных данных, предусмотренных законодательными актами, в том числе если они являются необходимыми для заявленных целей их обработки, с уведомлением об этом Вас в 15-дневный срок.
6)обжаловать действия (бездействие) и решения оператора, нарушающие Ваши права при обработке персональных данных, в уполномоченный орган по защите прав субъектов персональных данных в порядке, установленном законодательством об обращениях граждан и юридических лиц.
Принятое уполномоченным органом по защите прав субъектов персональных данных решение может быть обжаловано Вами в суд в порядке, установленном законодательством.
