Утверждено приказом
директора ЧМУП «Медицинский центр Сонодин»
от «__»__________________ 2022 г.
ПОЛИТИКА ЧМУП «МЕДИЦИНСКИЙ ЦЕНТР СОНОДИН» В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Политика обработки персональных данных в ЧМУП «Медицинский центр Сонодин» (далее - Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в ЧМУП «Медицинский центр Сонодин» (далее - Предприятие) персональных данных, функции Учреждения при обработке персональных данных, права субъектов персональных данных, а также реализуемые в Учреждении требования к защите персональных данных.
1.2. Политика разработана с учетом требований Конституции Республики Беларусь, законодательных и иных нормативных правовых актов Республики Беларусь в области персональных данных.
1.3. Положения Политики служат основой для разработки локальных правовых актов, регламентирующих в Учреждении вопросы обработки персональных данных работников Учреждения, Пациентов и других субъектов персональных данных.
ГЛАВА 2
ЗАКОНОДАТЕЛЬНЫЕ И ИНЫЕ НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ РЕСПУБЛИКИ БЕЛАРУСЬ, В СООТВЕТСТВИИ С КОТОРЫМИ ОПРЕДЕЛЯЕТСЯ ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В УЧРЕЖДЕНИИ
Политика обработки персональных данных в Учреждении определяется в соответствии со следующими нормативными правовыми актами:
Конституция Республики Беларусь;
Трудовой кодекс Республики Беларусь;
Закон Республики Беларусь от 07.05.2021 N 99-3 "О защите персональных данных" (далее - Закон о защите персональных данных);
Закон Республики Беларусь от 21.07.2008 N 418-3 "О регистре населения";
Закон Республики Беларусь от 10.11.2008 N 455-3 "Об информации, информатизации и защите информации";
Закон Республики Беларусь от 18.06.1993 (с изменениями и дополнениями) № 2435-XII «О здравоохранении»;
Указ Президента Республики Беларусь №422 от 28.10.2021 «О мерах по
совершенствованию защиты персональных данных»;
Постановление Министерства здравоохранения Республики Беларусь от 07.06.2021 № 74 «О формах и порядке дачи и отзыва согласия на внесение и обработку персональных данных пациента»;
Постановление Министерства здравоохранения Республики Беларусь от 28.05.2021 № 64 «Об утверждении Инструкции о порядке обезличивания персональных данных лиц, которым оказывается медицинская помощь»;
иные нормативные правовые акты Республики Беларусь и нормативные документы уполномоченных органов государственной власти.
В целях реализации положений Политики в Учреждении разрабатываются соответствующие локальные правовые акты и иные документы, в том числе:
Положение об обработке и защите персональных данных в Учреждении (приложение 1 к настоящей Политике);
Положение о порядке обеспечения конфиденциальности при обработке информации, содержащей персональные данные (приложение 2 к настоящей Политике);
иные локальные правовые акты и документы, регламентирующие в Учреждении вопросы обработки персональных данных.
ГЛАВА 3
ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ, ИСПОЛЬЗУЕМЫЕ В ЛОКАЛЬНЫХ ПРАВОВЫХ АКТАХ УЧРЕЖДЕНИЯ, РЕГЛАМЕНТИРУЮЩИХ ВОПРОСЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
- Биометрические персональные данные - информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и др.).
- Блокирование персональных данных - прекращение доступа к персональным данным без их удаления.
- Генетические персональные данные - информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца.
- Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
- Обработка персональных данных - любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
- Общедоступные персональные данные - персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов.
- Персональные данные - любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано.
- Предоставление персональных данных - действия, направленные на ознакомление с персональными данными определенного лица или круга лиц.
- Распространение персональных данных - действия, направленные на ознакомление с персональными данными неопределенного круга лиц.
3.10. Специальные персональные данные - персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.
- Субъект персональных данных - физическое лицо, в отношении которого осуществляется обработка персональных данных.
- Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства.
- Удаление персональных данных - действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных.
- Физическое лицо, которое может быть идентифицировано, - физическое лицо, которое может быть прямо или косвенно определено, в частности, через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.
- Информация - сведения (сообщения, данные) о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления.
- Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.
ГЛАВА 4
ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Предприятие, являясь оператором персональных данных, осуществляет обработку персональных данных работников Учреждения, пациентов Учреждения и других субъектов персональных данных, не состоящих с Предприятием в трудовых отношениях.
Обработка персональных данных в Учреждении осуществляется с учетом необходимости обеспечения защиты прав и свобод работников Учреждения, Пациентов Учреждения и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
- обработка персональных данных осуществляется на законной и справедливой основе;
- обработка персональных данных осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;
- обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами;
- обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;
- содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
- обработка персональных данных носит прозрачный характер. Субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных;
- оператор принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;
- хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
Персональные данные обрабатываются в Учреждении в целях:
- обеспечения соблюдения Конституции Республики Беларусь, законодательных и иных нормативных правовых актов Республики Беларусь, локальных правовых актов Учреждения;
- осуществления функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь на Предприятие, в том числе по предоставлению персональных данных в органы государственной власти, в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, а также в иные государственные органы;
- регулирования трудовых отношений с работниками Учреждения (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
- защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
- оказание медицинской помощи гражданам - субъектам персональных данных;
- подготовки, заключения, исполнения и прекращения договоров с контрагентами;
- обеспечения пропускного и внутриобъектового режимов на объектах Учреждения;
- формирования справочных материалов для внутреннего информационного обеспечения деятельности Учреждения;
- информационного обеспечения деятельности Учреждения;
- исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Беларусь об исполнительном производстве;
- осуществления прав и законных интересов Учреждения в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными правовыми актами Учреждения, либо достижения общественно значимых целей;
- в иных законных целях.
ГЛАВА 5
ПЕРЕЧЕНЬ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ В УЧРЕЖДЕНИИ
В Учреждении обрабатываются персональные данные следующих категорий субъектов:
- работников всех структурных подразделений и административно-управленческого персонала Учреждения;
- пациентов, обращающихся в Предприятие за оказанием амбулаторной медицинской помощью;
- других субъектов персональных данных (для обеспечения реализации целей обработки, указанных в гл. 4 Политики).
ГЛАВА 6
ПЕРЕЧЕНЬ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В УЧРЕЖДЕНИИ
- Перечень персональных данных, обрабатываемых в Учреждении, определяется в соответствии с законодательством Республики Беларусь и локальными правовыми актами Учреждения с учетом целей обработки персональных данных, указанных в гл. 4 Политики.
- Обработка специальных персональных данных, касающихся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или интимной жизни, привлечения к административной или уголовной ответственности, а также биометрических и генетических персональных данных, в Учреждении не осуществляется.
ГЛАВА 7
ФУНКЦИИ УЧРЕЖДЕНИЯ ПРИ ОСУЩЕСТВЛЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Предприятие при осуществлении обработки персональных данных:
- принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства Республики Беларусь и локальных правовых актов Учреждения в области персональных данных;
- принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
- назначает структурное подразделение или лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных;
- издает локальные правовые акты, определяющие политику и вопросы обработки и защиты персональных данных в Учреждении;
- осуществляет ознакомление работников Учреждения с положениями законодательства Республики Беларусь и локальных правовых актов Учреждения в области персональных данных, в том числе требованиями к защите персональных данных, и обучение указанных работников;
- публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;
- сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством Республики Беларусь;
- прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Республики Беларусь в области персональных данных;
- совершает иные действия, предусмотренные законодательством Республики Беларусь в области персональных данных.
ГЛАВА 8
УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В УЧРЕЖДЕНИИ
Обработка персональных данных в Учреждении осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством Республики Беларусь в области персональных данных.
Предприятие без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством Республики Беларусь.
Предприятие вправе поручить обработку персональных данных от имени Учреждения или в его интересах уполномоченному лицу на основании заключаемого с этим лицом договора. Договор должен содержать:
цели обработки персональных данных;
перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;
обязанности по соблюдению конфиденциальности персональных данных;
меры по обеспечению защиты персональных данных в соответствии со ст. 17 Закона о защите персональных данных.
Уполномоченное лицо не обязано получать согласие субъекта персональных данных. Если для обработки персональных данных по поручению Учреждения необходимо получение согласия субъекта персональных данных, такое согласие получает Предприятие.
- В целях внутреннего информационного обеспечения Предприятие может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством Республики Беларусь, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, адрес, абонентский номер, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.
- Доступ к обрабатываемым в Учреждении персональным данным разрешается только работникам Учреждения, занимающим должности, включенные в перечень должностей структурных подразделений администрации Учреждения, при замещении которых осуществляется обработка персональных данных.
ГЛАВА 9
ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ И СПОСОБЫ ИХ ОБРАБОТКИ
Предприятие осуществляет обработку персональных данных (любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных).
Обработка персональных данных в Учреждении осуществляется следующими способами:
- с использованием средств автоматизации:
- без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и др.).
ГЛАВА 10
ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
Субъекты персональных данных имеют право на:
- отзыв согласия субъекта персональных данных;
- получение информации, касающейся обработки персональных данных, и изменение персональных данных:
- требование прекращения обработки персональных данных и (или) их удаления;
- обжалование действий (бездействия) и решений оператора, связанных с обработкой персональных данных.
ГЛАВА 11
МЕРЫ, ПРИНИМАЕМЫЕ ПРЕДПРИЯТИЕМ ДЛЯ ОБЕСПЕЧЕНИЯ ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ОПЕРАТОРА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
Меры, необходимые и достаточные для обеспечения выполнения Предприятием обязанностей оператора, предусмотренных законодательством Республики Беларусь в области персональных данных, включают:
- предоставление субъектам персональных данных необходимой информации до получения их согласий на обработку персональных данных;
- разъяснение субъектам персональных данных их прав, связанных с обработкой персональных данных;
- получение письменных согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством Республики Беларусь;
- назначение структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных в Учреждении;
- издание документов, определяющих политику Учреждения в отношении обработки персональных данных;
- ознакомление работников, непосредственно осуществляющих обработку персональных данных в Учреждении, с положениями законодательства о персональных данных;
- установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
- осуществление технической и криптографической защиты персональных данных в Учреждении в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные;
- обеспечение неограниченного доступа, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику Учреждения в отношении обработки персональных данных, до начала такой обработки;
- прекращение обработки персональных данных при отсутствии оснований для их обработки;
- незамедлительное уведомление уполномоченного органа по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных;
- осуществление изменения, блокирования, удаления недостоверных или полученных незаконным путем персональных данных;
- ограничение обработки персональных данных достижением конкретных, заранее заявленных законных целей;
- осуществление хранения персональных данных в форме, позволяющей идентифицировать субъектов персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
- Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с локальными правовыми актами Учреждения, регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных Учреждения.
ГЛАВА 12
КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА РЕСПУБЛИКИ БЕЛАРУСЬ И ЛОКАЛЬНЫХ ПРАВОВЫХ АКТОВ УЧРЕЖДЕНИЯ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, В ТОМ ЧИСЛЕ ТРЕБОВАНИЙ К ЗАЩИТЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ
Контроль за соблюдением структурными подразделениями администрации Учреждения, законодательства Республики Беларусь и локальных правовых актов Учреждения в области персональных данных, в том числе требований к защите персональных данных, осуществляется с целью проверки соответствия обработки персональных данных в структурных подразделениях администрации Учреждения законодательству Республики Беларусь и локальным правовым актам Учреждения в области персональных данных, в том числе требованиям к защите персональных данных, а также принятых мер, направленных на предотвращение и выявление нарушений законодательства Республики Беларусь в области персональных данных, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.
Внутренний контроль за соблюдением структурными подразделениями администрации Учреждения законодательства Республики Беларусь и локальных правовых актов Учреждения в области персональных данных, в том числе требований к защите персональных данных, осуществляется лицом, ответственным за организацию обработки персональных данных в Учреждении.
Персональная ответственность за соблюдение требований законодательства Республики Беларусь и локальных нормативных актов Учреждении в области персональных данных в структурном подразделении администрации Учреждении, а также за обеспечение конфиденциальности и безопасности персональных данных в указанных подразделениях Учреждении возлагается на их руководителей.