Положение об обработке и защите персональных данных субъектов персональных данных в МУ «Бендерский лечебно-диагностический центр»

  1. Общие положения:

1.1.Положение об обработке и защите персональных данных работников; соискателей на замещение вакансий; студентов учебных заведений ПМР, направленных для прохождения практики на базе МУ БЛДЦ; пациентов,;  контрагентов – физических лиц, контрагентов – физических лиц -индивидуальных предпринимателей (далее — Положение) принято и применяется МУ «Бендерский лечебно-диагностический центр» в соответствии с частью 1 статьи 18-1 Закона Приднестровской Молдавской Республики от 16 апреля 2010 года № 53-З-IV «О персональных данных».

1.2.Настоящее Положение определяет порядок обработки и защиты от несанкционированного доступа и разглашения сведений, составляющих персональные работников; соискателей на замещение вакансий; студентов медицинских учебных заведений ПМР, направленных для прохождения практики на базе МУ БЛДЦ; пациентов,  контрагентов – физических лиц (далее — субъекты персональных данных) в МУ «Бендерский лечебно-диагностический центр» (далее – Оператор).

1.3.Обработка персональных данных субъектов персональных данных  организована Оператором на принципах:
— законности и справедливости;
— обработки только персональных данных, которые отвечают целям их обработки;
— соответствия  содержания  и объема; обрабатываемых   персональных   данных   заявленным целям обработки;
— обрабатываемые персональные данные не   должны  быть избыточными по отношению к заявленным целям их обработки;
— недопустимости  объединения  баз   данных,  содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
— обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных;
— оператор принимает необходимые  меры  либо обеспечивает  их принятие  по удалению или уточнению неполных или неточных данных;
— хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.

1.4.Обработка персональных данных субъектов персональных данных  оператором осуществляется с соблюдением норм, принципов и правил, предусмотренных:

  • Конституцией Приднестровской Молдавской Республики;
  • Трудовым кодексом ПМР;
  • Кодексом ПМР  об административных правонарушениях;
  • Законом ПМР  «О персональных данных»;
  • Законом  ПМР «Об информации, информационных технологиях и о защите информации»;
  • Законом ПМР «Об основах охраны здоровья граждан»;
  • Законом ПМР  «О фармацевтической деятельности в Приднестровской Молдавской Республике»;
  • Законом ПМР «Об основах обязательного социального страхования»;
  • Законом ПМР «Об архивном деле»;
  • Законом ПМР  «Об обращениях граждан и юридических лиц, а также общественных объединений»;
  • Законом ПМР  « О заработной плате работников бюджетной сферы, денежном довольствии военнослужащих и лиц, приравненных к ним по условиям выплат денежного довольствия, денежном содержании государственных гражданских служащих»;
  • Законом ПМР  «О едином социальном налоге и обязательном страховом взносе»;
  • Законом ПМР  «Об индивидуальном (персонифицированном) учете в системе государственного пенсионного страхования»;
  • Законом ПМР  «О подоходном налоге с физических лиц»;
  • Законом Приднестровской Молдавской Республики «Об обеспечении пособиями по временной нетрудоспособности, по беременности и родам граждан, подлежащих государственному социальному страхованию»;
  • Постановлением Правительства ПМР «Об утверждении требований к защите персональных данных при обработке в информационных системах персональных данных»;
  • Постановлением Правительства ПМР «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Приказом  МЗ ПМР № 722 от 09.10.2019г. «О порядке проведения контроля качества и безопасности медицинской деятельности в государственных лечебно-профилактических учреждениях»;
  • Приказом МЗ ПМР № 839 от 06.12.2019г.  «Об утверждении формы информационного добровольного согласия пациента на обработку персональных данных»;
  • иными нормативными актами в области защиты персональных данных, и настоящим Положением.

1.5. Настоящее Положение и изменения к нему утверждаются руководителем Оператора, вводятся приказом оператора и подлежат опубликованию на официальном сайте оператора

 https://ldc-bendery.ru/.

 Все сотрудники Оператора, работающие с персональными данными  субъектов персональных данных, должны быть ознакомлены с настоящим Положением под роспись.

1.6. При обработке персональных данных Оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со статьей 18-1 и статьей  19  Закона ПМР  от 16 апреля 2010 года № 53-З-IV «О персональных данных» Постановлением Правительства ПМР  «Об утверждении требований к защите персональных данных при обработке в информационных системах персональных данных», Постановлением Правительства ПМР «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и иными документами.

1.7. МУ «Бендерский лечебно-диагностический центр» в целях повышения квалификации работников, осуществляет трансграничную  передачу персональных данных в Республику Молдова, а также  Российскую Федерацию.

  1. Понятие, сбор и обработка персональных данных

2.1. Под персональными данными субъектов персональных данных  понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

 

В отношении работников, а также кандидатов на замещение вакантных должностей в               МУ «Бендерский лечебно-диагностический центр»:

  • фамилия, имя, отчество;
  • дата рождения;
  • место рождения;
  • пол;
  • гражданство;
  • паспортные данные;
  • адрес регистрации, адрес фактического места проживания;
  • семейное положение, социальное положение;
  • образование, профессия;
  • данные военного билета, водительского удостоверения;
  • данные страхового свидетельства;
  • сведения о льготах;
  • сведения о несудимости;
  • сведения из личных карточек;
  • банковские реквизиты, доходы;
  • сведения о близких родственниках;
  • контактные телефоны;
  • иные персональные данные необходимые для заключения договоров.

 

В отношении контрагентов — физических лиц, а также контрагентов – физических лиц индивидуальных предпринимателей в МУ «Бендерский лечебно-диагностический центр»:  

  • фамилия, имя, отчество;
  • дата рождения;
  • паспортные данные;
  • адрес регистрации;
  • свидетельство о государственной регистрации индивидуального предпринимателя;
  • свидетельства о постановке на налоговый учёт;
  • разрешительная документация (в случае, если для соответствующего вида деятельности требуется наличие разрешительной документации);
  • банковские реквизиты;
  • контактные телефоны;
  • иные персональные данные необходимые для заключения договоров.

 

В отношении студентов учебных заведений ПМР, направленных для прохождения практики на базе МУ «Бендерский лечебно-диагностический центр»:

  • фамилия, имя, отчество;
  • наименование учебного заведения;
  • номер группы, специальность;
  • направление практики.

 

В отношении пациентов, получающих медицинскую помощь в МУ «Бендерский лечебно-диагностический центр»:

  • сведения, содержащиеся в основном документе, удостоверяющем личность;
  • сведения о дате выдачи указанного документа и выдавшем его органе;
  • место работы и занимаемая должность;
  • сведения о месте жительства (адрес регистрации, адрес фактического проживания);
  • контактный телефон, в том числе членов семьи;
  • сведения, относящиеся к медицинскому обследованию и  состоянию здоровья пациента.

 

       К специальной категории персональных данных в МУ «Бендерский лечебно-диагностический центр»  относятся персональные данные пациентов,  персональные данные работников в части профессионального осмотра и сведений о состоянии здоровья работника.   

        Персональные данные субъектов персональных данных являются конфиденциальными сведениями. Режим конфиденциальности персональных данных снимается в случаях, определенных законодательством ПМР. 

Обеспечение конфиденциальности персональных данных не требуется:
— в случае обезличивания персональных данных;
— в отношении общедоступных персональных данных.

2.2. Обработка персональных данных субъектов персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных субъектов персональных данных.

2.3. Целью обработки персональных данных пациентов является обеспечение соблюдения законов и иных нормативных правовых актов, установление медицинского диагноза и оказание медицинских услуг.

2.4. Субъекты персональных данных, в том числе пациент, принимают решение о предоставлении их персональных данных и дают согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных даётся в письменной форме  и должно быть конкретным,   информированным   и   сознательным. 

2.5. В случае получения согласия на обработку персональных данных от представителя пациента, полномочия данного представителя на дачу согласия от субъекта персональных данных проверяются Оператором.

2.6. Обработка персональных данных пациентов без их согласия допускается при наличии оснований, указанных в части 1 статьи 6, части 2 статьи 10 Закона ПМР «О персональных данных».

      Кроме того, предоставление сведений о факте обращения пациента за оказанием медицинской помощи, прохождении медицинского обследования,  сведений о состоянии его здоровья и диагнозе, иных сведений, полученных при его медицинском обследовании и лечении (врачебная тайна), без согласия гражданина или его законного представителя допускается:
2.6.1. в целях проведения медицинского обследования и лечения пациента, который в результате своего состояния не способен выразить свою волю, если медицинское вмешательство необходимо по экстренным показаниям для устранения угрозы жизни человека и если его состояние не позволяет выразить свою волю или отсутствуют его законные представители.
2.6.2. при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
2.6.3. по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля за поведением условно осужденного, осужденного, в отношении которого отбывание наказания отсрочено, и лица, освобожденного условно-досрочно;

2.6.4. в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий;

2.6.5. в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов, кадровых служб и военно-врачебных комиссий федеральных органов исполнительной власти, в которых предусмотрена военная и приравненная к ней служба;
2.6.6. в целях расследования несчастного случая на производстве и профессионального заболевания;
2.6.7. в целях осуществления учета и контроля в системе обязательного социального страхования;
2.6.8. в целях осуществления контроля качества и безопасности медицинской деятельности, в соответствии с Законом ПМР «Об основах охраны здоровья граждан».

2.7. Передача персональных данных субъектов персональных данных  сотрудникам Оператора для выполнения должностных обязанностей должна осуществляться только в объёме, необходимом для выполнения их работы.

2.8. Доступ к персональным данным субъектов персональных данных должен быть ограничен и регламентирован для предотвращения утечки данных. 
       При хранении материальных носителей с персональными данными субъектов персональных данных  должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним. 

2.9. Доступ    к    персональным     данным     субъектов     персональных   данных    внутри  МУ «Бендерский лечебно-диагностический центр»   определен  приказом по МУ «Бендерский лечебно-диагностический центр»  №01-3/3а  от 04.01.24г.,   в том числе доступ к персональным данным имеют сами субъекты персональных данных — носители своих данных.

2.10. Персональные данные вне МУ «Бендерский лечебно-диагностический центр» могут предоставляться в государственные  и негосударственные функциональные структуры (внешний доступ) исключительно по официальному запросу.

     В  соответствии  с поступившим официальным запросом персональные данные субъектов персональных данных также передаются в:

— Администрацию Президента ПМР;

— исполнительные органы Государственной власти ПМР;

— законодательные органы власти ПМР;

— контрольные и надзорные органы Государственной власти ПМР. 

2.11.  Персональные данные субъектов персональных данных  могут быть предоставлены его законному     представителю,   а     также    родственникам    или   членам   его   семьи,   иным представителям    только    с    письменного    разрешения    самого    субъекта  персональных  данных  либо его законного представителя.

2.12. Оператор   и    иные   лица,    получившие   доступ   к  персональным  данным субъектов персональных   данных,   обязаны   не   раскрывать   третьим   лицам   и   не    распространять персональные   данные    без    согласия    субъекта    персональных    данных,   если  иное  не предусмотрено законом.

2.13. Хранение      персональных      данных     субъектов     персональных    данных    должно осуществляться в форме, позволяющей их идентифицировать.

2.14. Хранение персональных данных субъектов персональных данных должно происходить в  порядке, исключающем их утрату или их неправомерное использование.

2.15. Срок хранения персональных  данных  субъектов  персональных данных   определяется целью  обработки  персональных  данных. По истечению срока хранения   или   утраты  цели обработки персональные данные подлежат уничтожению,   обезличиванию  или  передаче  в архив.

  1. Права и обязанности Оператора, субъектов персональных данных в целях обеспечения защиты персональных данных:

3.1.Оператор при обработке персональных данных обязан:

  • принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных субъектов персональных данных   МУ «Бендерский лечебно-диагностический центр»;
  • издавать документы, определяющие политику Оператора в отношении обработки персональных данных субъектов персональных данных;
  • осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных Законодательству ПМР и принятыми в соответствии с ним нормативными правовыми актами, требованиям к защите персональных данных, локальным актам Оператора;
  • сообщать в порядке, предусмотренном статьей 14 Закона ПМР «О персональных данных», субъекту персональных данных  или его представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных,  а также предоставить возможность ознакомления с этими персональными данными безвозмездно при его обращении или обращении его представителя либо в течение 30 (тридцати) дней с даты получения запроса субъекта персональных данных или его представителя;
  • вносить в срок, не превышающий 7(семи) рабочих дней со дня предоставления субъектом персональных данных или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, необходимые изменения в них. В срок, не превышающий 7(семи) рабочих дней со дня представления субъектом персональных данных или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие персональные данные.
  • Оператор обязан уведомить субъект персональных данных  или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные данного субъекта персональных данных были переданы;
  • в случае выявления неправомерной обработки персональных данных при обращении субъекта персональных данных  или его представителя, либо по запросу субъекта персональных данных или его представителя, либо уполномоченного органа по защите прав субъектов персональных данных осуществлять блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных; с момента такого обращения или получения указанного запроса на период проверки обработка персональных данных данного субъекта персональных данных блокируется;
  • в случае отзыва субъектом персональных данных  согласия на обработку его персональных данных, Оператор обязан прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий 3(трех)рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между Оператором и субъектом персональных данных,  либо если Оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных частью 1 статьи 6, частью  2 статьи 10 и статьей  11 Закона ПМР «О персональных данных»; 
  • в случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных в п. 3.1. настоящего Положения, осуществлять блокирование таких персональных данных и обеспечить уничтожение персональных данных в срок не более чем 30 (тридцать) рабочих дней, если иной срок не установлен Законодательством ПМР.

3.2. В целях обеспечения защиты персональных данных, хранящихся у Оператора, субъекты персональных данных имеют право на получение информации, касающейся обработки их персональных данных, в том числе содержащей:

  • подтверждение факта обработки персональных данных оператором;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые оператором способы обработки персональных данных;
  • наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании Законодательства ПМР;
  • сроки обработки персональных данных, в том числе сроки их хранения.

3.3. Решение, порождающее юридические последствия в отношении субъектов персональных данных или иным образом затрагивающее их права и законные интересы, может  быть принято на основании исключительно автоматизированной обработки их персональных данных только при наличии согласия в письменной форме субъекта пе6рсональных данных или в случаях, предусмотренных законодательством ПМР, устанавливающим также меры по обеспечению соблюдения прав и законных интересов субъектов персональных данных.

3.4. Оператор обязан разъяснить субъекту персональных данных  порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъекта персональных данных  своих прав и законных интересов. Оператор обязан рассмотреть указанное возражение в течение 30(тридцати) дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.

3.5. Если субъект персональных данных  считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Положения или иным образом нарушает его права и свободы, субъект персональных данных вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных, также субъект персональных данных  имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда, в судебном порядке.

  1. Особенности обработки персональных данных субъектов персональных данных, осуществляемой без использования средств автоматизации:

4.1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.

4.2. Работники, осуществляющие обработку персональных  данных субъектов персональных данных  без использования средств автоматизации, должны быть проинформированы о факте обработки ими персональных данных субъектов персональных данных, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных законодательством ПМР.

4.3. Персональные данные субъектов персональных данных, при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).

4.4. При фиксации персональных данных субъектов персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.

4.5. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).

4.6. Уточнение персональных данных субъектов персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, — путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными.

4.7.Обработка персональных данных субъектов персональных данных, осуществляемая без использования средств автоматизации, осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

4.8.Оператор обязан обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

4.9.При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ

  1. Ответственность за нарушение требований, регулирующих получение, обработку и хранение персональных данных.

5.1. Работники МУ «Бендерский лечебно-диагностический центр»,  обрабатывающие персональные данные, несут ответственность в соответствии с действующим законодательством ПМР за нарушение режима защиты, обработки и порядка использования этой информации.

5.2. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, гражданско-правовую, административную или уголовную ответственность в соответствии с действующим законодательством Приднестровской Молдавской Республики.

  1. Заключительные положения

6.1. Настоящее Положение вступает в силу с момента его утверждения в МУ «Бендерский лечебно-диагностический центр».

6.2. Настоящее Положение подлежит корректировке в случае изменения законодательства Приднестровской Молдавской Республики.

6.3. В случае изменения законодательства Приднестровской Молдавской Республики в области защиты персональных данных, положения настоящего Положения, противоречащие законодательству, не применяются до приведения их в соответствие.

6.4. Действующая редакция Положения хранится по адресу:  MD 3200, ПМР, г. Бендеры, ул. Шестакова, 29.