Версия для слабовидящих 
Доступная средаПолитика обработки и защиты персональных данных
Политика обработки и защиты персональных данных
государственного бюджетного учреждения здравоохранения
"Городская поликлиника № 34"
1. Общие положения
1.1. Настоящая Политика в отношении обработки персональных данных составлена в соответствии с п. 2 ст. 18.1 Федерального закона № 152-ФЗ от 27 июля 2006 года "О персональных данных" и является основополагающим внутренним регулятивным документом Санкт-Петербургского государственного бюджетного учреждения здравоохранения "Городская поликлиника № 34" (далее по тексту – "СПб ГБУЗ "Городская поликлиника № 34" или "Оператор"), определяющим ключевые направления его деятельности в области обработки и защиты персональных данных (далее – "персональные данные" или "ПД"), Оператором которых оно является.
1.2. Политика обработки и защиты персональных данных (далее по тексту – "Политика") разработана в целях реализации требований законодательства в области обработки и защиты ПД и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его ПД в СПб ГБУЗ "Городская поликлиника № 34", в том числе защиты прав на неприкосновенность частной жизни, личной, семейной и врачебной тайн.
1.3. Положения Политики служат основой для разработки локальных нормативных актов, регламентирующих вопросы обработки ПД и других субъектов ПД в СПб ГБУЗ "Городская поликлиника № 34".
1.4. Обработка ПД осуществляется в связи с выполнением Оператором функций, предусмотренных его учредительными документами.
2. Законодательные и иные нормативные правовые акты Российской Федерации, в соответствии с которыми определяется Политика обработки ПД в СПб ГБУЗ "Городская поликлиника № 34".
2.1. Политика обработки ПД в деятельности поликлиник для взрослых пациентов определяется в соответствии со следующими нормативными правовыми актами:
Федеральным законом от 21 ноября 2011 г. № 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации";
Федеральным законом от14.07.2022 № 266-ФЗ "О внесении изменений в Федеральный закон "О персональных данных";
Приказ Роскомнадзора от 28.10.2022 № 179 "Об утверждении Требований к подтверждению уничтожения персональных данных";
Федеральный закон от 27 июля 2006 г. № 152-ФЗ "О персональных данных";
Указ Президента Российской Федерации от 6 марта 1997 г. № 188 "Об утверждении Перечня сведений конфиденциального характера";
Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 "Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации";
Постановление Правительства Российской Федерации от 6 июля 2008 г. № 512 "Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных";
Постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
Приказ ФСТЭК России от 18 февраля 2013 г. № 21 "Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";
Приказ Роскомнадзора от 5 сентября 2013 г. № 996 "Об утверждении требований и методов по обезличиванию персональных данных";
иными нормативными правовыми актами Российской Федерации.
Обработка ПД в СПб ГБУЗ ".Городская поликлиника № 34" осуществляется в ходе трудовых и иных непосредственно связанных с ними отношений, в которых Оператор выступает в качестве работодателя (глава 14 Трудового кодекса Российской Федерации), в связи с реализацией Оператором своих прав и обязанностей как юридического лица.
3. Термины и принятые сокращения
Персональные данные – любая информация, относящаяся к прямо или косвенно определённому или определяемому физическому лицу (субъекту ПД);
Обработка ПД – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД;
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПД, а также определяющие цели обработки ПД, состав ПД, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Для целей данного документа Оператором является СПб ГБУЗ "Городская поликлиника № 34";
Распространение ПД – действия, направленные на раскрытие ПД неопределённому кругу лиц;
Предоставление ПД – действия, направленные на раскрытие ПД определённому лицу или определённому кругу лиц;
Блокирование ПД – временное прекращение обработки ПД (за исключением случаев, если обработка необходима для уточнения ПД);
Уничтожение ПД – действия, в результате которых становится невозможным восстановить содержание ПД в информационной системе ПД и (или) в результате которых уничтожаются материальные носители ПД;
Обезличивание ПД – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПД конкретному субъекту ПД;
Автоматизированная обработка ПД – обработка ПД с помощью средств вычислительной техники;
Информационная система персональных данных (ИСПД) – совокупность содержащихся в базах данных ПД и обеспечивающих их обработку информационных технологий и технических средств;
Пациент – физическое лицо, которому оказывается медицинская помощь или которое обратилось за оказанием медицинской помощи независимо от наличия у него заболевания и от его состояния;
Законный представитель – физическое лицо, являющееся законным представителем пациента в соответствии с действующим законодательством;
Медицинская деятельность – профессиональная деятельность по оказанию медицинской помощи, проведению медицинских экспертиз, медицинских осмотров, санитарно-противоэпидемических (профилактических) мероприятий.
Лечащий врач – врач, на которого возложены функции по организации и непосредственному оказанию пациенту медицинской помощи в период наблюдения за ним и его лечения.
Работники – физические лица, состоящие с Оператором в трудовых или гражданско-правовых отношениях.
4. Принципы обеспечения безопасности персональных данных
4.1. Основной задачей обеспечения безопасности ПД при их обработке в СПб ГБУЗ "Городская поликлиника № 34" является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения ПД, разрушения (уничтожения) или искажения их в процессе обработки.
4.2. Для обеспечения безопасности ПД Оператор руководствуется следующими принципами:
законность: защита персональных данных основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты персональных данных;
системность: обработка персональных данных в СПб ГБУЗ "Городская поликлиника № 34" осуществляется с учётом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности персональных данных;
комплексность: защита персональных данных строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах Оператора и других имеющихся у Оператора систем и средств защиты;
непрерывность: защита персональных данных обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки персональных данных, в том числе при проведении ремонтных и регламентных работ;
своевременность: меры, обеспечивающие надлежащий уровень безопасности персональных данных, принимаются до начала их обработки;
преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты персональных данных осуществляется на основании результатов анализа практики обработки персональных данных в СПб ГБУЗ "Городская поликлиника № 34" с учётом выявления новых способов и средств реализации угроз безопасности персональных данных, отечественного и зарубежного опыта в сфере защиты информации;
персональная ответственность: ответственность за обеспечение безопасности персональных данных возлагается на Работников в пределах их обязанностей, связанных с обработкой и защитой персональных данных;
минимизация прав доступа: доступ к ПД предоставляется Работникам только в объёме, необходимом для выполнения их должностных обязанностей;
гибкость: обеспечение выполнения функций защиты персональных данных при изменении характеристик функционирования информационных систем персональных данных Оператора, а также объёма и состава обрабатываемых Оператором данных;
специализация и профессионализм: реализация мер по обеспечению безопасности персональных данных осуществляются Работниками, имеющими необходимые для этого квалификацию и опыт;
непрерывность контроля и оценки: устанавливаются процедуры постоянного контроля использования систем обработки и защиты персональных данных, а результаты контроля регулярно анализируются.
4.3. В СПб ГБУЗ "Городская поликлиника № 34" не производится обработка ПД, несовместимая с целями их сбора, также Оператор не осуществляет трансграничную передачу персональных данных.
4.4. При обработке ПД обеспечиваются их точность, достаточность, а при необходимости – и актуальность по отношению к целям обработки.
5. Обработка персональных данных
5.1. Получение персональных данных
5.1.1. Все ПД следует получать от самого субъекта. Если ПД субъекта можно получить только у третьей стороны, то субъект должен быть уведомлён об этом или от него должно быть получено согласие.
5.1.2. Оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения ПД, характере подлежащих получению ПД, перечне действий с персональными данными, сроке, в течение которого действует согласие и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.
5.1.3. Документы, содержащие персональные данные, создаются путём:
а) копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.);
б) внесения сведений в учетные формы;
в) получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).
5.2. Обработка персональных данных
5.2.1. Обработка персональных данных осуществляется:
с согласия субъекта ПД на обработку его ПД;
в случаях, когда обработка ПД необходима для осуществления и выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей;
Доступ Работников к обрабатываемым ПД осуществляется в соответствии с их должностными обязанностями и требованиями внутренних нормативных документов Оператора.
Допущенные к обработке ПД Работники под подпись знакомятся с документами СПб ГБУЗ "Городская поликлиника № 34", устанавливающими порядок обработки ПД, включая документы, устанавливающие права и обязанности конкретных Работников.
5.2.2. Цели обработки персональных данных:
обеспечение организации оказания медицинской помощи населению, а также наиболее полного исполнения обязательств в соответствии с Федеральными законами от 21 ноября 2011г № 323-ФЗ "Об основах охраны здоровья граждан Российской Федерации", от 29 ноября 2010 года № 326-ФЗ "Об обязательном медицинском страховании граждан в Российской Федерации",
осуществление трудовых отношений;
осуществление гражданско-правовых отношений.
5.2.3. Категории субъектов персональных данных
В СПб ГБУЗ "Городская поликлиника № 34" обрабатываются ПД следующих субъектов:
физические лица, состоящие с учреждением в трудовых отношениях;
физические лица, уволившиеся из учреждения;
физические лица, являющиеся кандидатами на работу;
физические лица, состоящие с учреждением в гражданско-правовых отношениях;
физические лица (их законные представители), обратившиеся в учреждение за медицинской помощью;
иные физические лица, обработка ПД которых осуществляется в соответствии с действующими нормативными документами.
5.2.4. Персональные данные, обрабатываемые СПб ГБУЗ " Городская поликлиника № 34:
данные полученные при осуществлении трудовых отношений;
5.2.5. Обработка персональных данных ведётся:
с использованием средств автоматизации;
без использования средств автоматизации.
5.3. Хранение персональных данных
5.3.1. ПД субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
5.3.2. ПД, зафиксированные на бумажных носителях, хранятся в запираемых помещениях с ограниченным правом доступа (регистратура).
5.3.3. ПД субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках (вкладках).
5.3.4. Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках) в ИСПД.
5.3.5. Хранение ПД в форме, позволяющей определить субъекта ПД, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
5.4. Уничтожение персональных данных
5.4.1. Уничтожение документов (носителей), содержащих ПД производится путём сожжения, дробления (измельчения).
5.4.2. ПД на электронных носителях уничтожаются путём стирания или форматирования носителя.
5.4.3. Уничтожение производится назначенной комиссией в соответствии с утверждённым положением "О порядке уничтожения персональных данных." (Приказ Роскомнадзора от 28.10.2022 № 179) Факт уничтожения персональных данных подтверждается документально актом об уничтожении носителей, подписанным членами комиссии.
5.5. Передача персональных данных
5.5.1. Оператор передаёт ПД третьим лицам в следующих случаях:
субъект выразил своё согласие на такие действия;
передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.
6. Защита персональных данных. Обеспечение безопасности персональных данных.
6.1. В соответствии с требованиями нормативных документов в СПб ГБУЗ "Городская поликлиника № 34" создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.
6.2. Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.
6.3. Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнёрами и сторонними лицами, защиты информации в открытой печати, аналитической работы.
6.4. Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПД.
6.5. Основными мерами защиты ПД, используемыми Оператором, являются:
6.5.1. Назначение лица, ответственного за обработку ПД, которое осуществляет организацию обработки ПД, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите ПД;
6.5.2. Определение актуальных угроз безопасности ПД при их обработке в ИСПД, и разработка мер и мероприятий по защите ПД;
6.5.3. Установление правил доступа к ПД, обрабатываемым в ИСПД, а также обеспечения регистрации и учёта всех действий, совершаемых с персональными данными в ИСПД;
6.5.4. Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями;
6.5.5. Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, учёт машинных носителей ПД, обеспечение их сохранности;
6.5.6. Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами;
6.5.7. Соблюдение условий, обеспечивающих сохранность ПД и исключающих несанкционированный к ним доступ, оценка эффективности принимаемых и реализованных мер по обеспечению безопасности ПД
6.5.8. Установление правил доступа к обрабатываемым ПД, обеспечение регистрации и учёта действий, совершаемых с персональными данными, а также обнаружение фактов несанкционированного доступа к ПД и принятия мер;
Материальные носители должны храниться в служебных помещениях в сейфах, металлических шкафах, металлических стеллажах, которые по окончании рабочего дня запираются и опечатываются. В исключительных случаях (при отсутствии указанных хранилищ) в запираемых ящиках рабочих столов. Запрещается хранить материальные носители в не запираемых ящиках рабочих столов и других неприспособленных для этого местах.
6.5.9. Восстановление ПД, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
6.5.10. Обучение работников Оператора, непосредственно осуществляющих обработку ПД, положениям законодательства Российской Федерации о персональных данных, в том числе – требованиям к защите ПД, документами, определяющими политику Оператора в отношении обработки ПД, локальным актам по вопросам обработки ПД;
6.5.11. Осуществление внутреннего контроля и аудита.
7. Основные права субъекта персональных данных и обязанности СПб ГБУЗ "Городская поликлиника № 34".
7.1. Основные права субъекта персональных данных.
Субъект ПД имеет право на получение информации, касающейся обработки его ПД, в том числе содержащей:
подтверждение факта обработки ПД Оператором;
правовые основания и цели обработки ПД;
цели и применяемые Оператором способы обработки ПД;
наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к ПД или которым могут быть раскрыты ПД на основании договора с Оператором или на основании федерального закона;
обрабатываемые ПД, относящиеся к соответствующему субъекту ПД, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
сроки обработки ПД, в том числе – сроки их хранения;
порядок осуществления субъектом ПД прав, предусмотренных Федеральным законом "О персональных данных";
информацию об осуществлённой или о предполагаемой трансграничной передаче данных;
наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку ПД по поручению Оператора, если обработка поручена или будет поручена такому лицу;
иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.
Субъект ПД вправе требовать от Оператора уточнения его ПД, их блокирования или уничтожения в случае, если ПД являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
7.2. Обязанности СПб ГБУЗ "Городская поликлиника № 34"
Оператор обязан:
при сборе ПД предоставить субъекту информацию об обработке его ПД;
в случаях, если ПД были получены не от субъекта ПД, уведомить субъекта;
при отказе в предоставлении ПД субъекту разъясняются последствия такого отказа;
опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД;
принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПД, а также от иных неправомерных действий в отношении ПД;
давать ответы на запросы и обращения субъектов ПД, их представителей и уполномоченного органа по защите прав субъектов ПД.
СПБ ГБУЗ "Городская поликлиника № 34" включена в реестр операторов персональных данных с 19.09.2008 года под регистрационным номером 08-0020455.
8. Заключительные положения
8.1. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите ПД.
При внесении изменений в настоящий документ или принятии его новой редакции он вступает в силу с момента утверждения его приказом главного врача СПб ГБУЗ "Городская поликлиника № 34".
8.2. Электронная версия Политики размещается на официальном сайте СПб ГБУЗ "Городская поликлиника № 34". Бумажная версия размещается на информационном стенде в помещении Оператора в доступном для посетителей месте. К настоящей Политике обеспечивается неограниченный доступ.
8.3. Контроль исполнения требований настоящей Политики осуществляется ответственным за организацию обработки ПД в СПб ГБУЗ "Городская поликлиника № 34"
8.4. Ответственность должностных лиц Оператора, имеющих доступ к ПД, за невыполнение требований норм, регулирующих обработку и защиту ПД, определяется в соответствии с законодательством Российской Федерации и внутренними документами Оператора.