ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение, разработанное в соответствии с Конституцией Республики Беларусь, Трудовым кодексом Республики Беларусь, Гражданским кодексом Республики Беларусь, Законом Республики Беларусь от 07.05.2021 N 99-З «О защите персональных данных» (далее - Закон о защите персональных данных), Указом Президента Республики Беларусь от 28.10.2021 N 422 «О мерах по совершенствованию защиты персональных данных», Законом Республики Беларусь от 10.11.2008 N 455-З «Об информации, информатизации и защите информации», иными нормативными правовыми актами Республики Беларусь и локальными правовыми актами УЗ «31-я городская поликлиника» определяет цели, принципы, условия и правила обработки персональных данных в УЗ «31-я городская поликлиника» , меры по обеспечению режима их защиты, права и обязанности субъектов персональных данных, а также права, обязанности и ответственность лиц, осуществляющих обработку персональных данных.
1.2. Учреждение здравоохранения «31-я городская поликлиника» является оператором, самостоятельно или совместно с другими лицами организующим и (или) осуществляющим обработку персональных данных работников и других субъектов персональных данных в целях:
обеспечения соблюдения законодательства Республики Беларусь;
обеспечения выполнения трудовых договоров (контрактов) с работниками;
обеспечения личной безопасности работников;
1.3. Заведующие структурных подразделений УЗ «31-я городская поликлиника» несут персональную ответственность за обработку персональных данных, выполнение работниками требований законодательства Республики Беларусь и локальных правовых актов УЗ «31-я городская поликлиника» в области обработки персональных данных.
1.4. В настоящем Положении используются понятия согласно Закону о защите персональных данных.
1.5. При приеме на работу работник должен быть ознакомлен с настоящим Положением под подпись до подписания трудового договора (контракта).
ГЛАВА 2
СОСТАВ И КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОБРАБАТЫВАЕМЫХ В УЗ «31-я городская поликлиника»
2.1. Состав персональных данных, обрабатываемых в УЗ «31-я городская поликлиника»:
Персональные данные кандидатов на рабочие места включают:
фамилию, имя, отчество (а также все предыдущие фамилии);
дату и место рождения;
гражданство;
паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.);
данные свидетельства о рождении (номер, дата выдачи, наименование органа, выдавшего документ, и др.);
пол;
сведения о семейном положении и составе семьи с указанием фамилий, имен и отчеств членов семьи, даты рождения, места работы и (или) учебы;
сведения о регистрации по месту жительства (включая адрес, дату регистрации);
сведения о месте фактического проживания;
номер и серия страхового свидетельства государственного социального страхования;
данные об образовании, повышении квалификации и профессиональной переподготовке, ученой степени, ученом звании;
сведения о трудовой деятельности (включая стаж и опыт работы, данные о занятости с указанием должности, подразделения, сведений о работодателе и др.);
специальность, профессия, квалификация;
сведения о воинском учете;
сведения медицинского характера (в случаях, предусмотренных законодательством);
биометрические персональные данные (включая фотографии, изображения с камер видеонаблюдения, записи голоса);
сведения о социальных льготах и выплатах;
контактные данные (включая номера домашнего и/или мобильного телефона, электронной почты и др.);
сведения о награждениях и поощрениях;
сведения, предоставленные самим кандидатом в ходе заполнения личностных опросников и прохождения мероприятий по психометрическому тестированию, а также результаты такого тестирования (психометрический профиль, способности и характеристики);
иные данные, которые могут быть указаны в резюме или анкете кандидата.
Персональные данные работников УЗ «31-я городская поликлиника» включают:
фамилию, имя, отчество (а также все предыдущие фамилии);
дату рождения;
гражданство;
паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, - дата выдачи, наименование органа, выдавшего документ, и др.);
данные виз и иных документов миграционного учета;
пол;
сведения о регистрации по месту жительства (включая адрес, дату регистрации);
сведения о месте пребывания;
биометрические персональные данные (включая фотографии, изображения с камер видеонаблюдения, записи голоса);
сведения о социальных льготах и выплатах;
контактные данные (включая номера рабочего и (или) мобильного телефона, электронной почты и др.);
данные о родителях, опекунах, попечителях, семейном положении, супруге, ребенке (детях);
данные о высшем образовании, ученой степени, ученом звании;
данные о роде занятий;
данные об исполнении воинской обязанности;
данные об инвалидности;
иные данные, необходимые для исполнения взаимных прав и обязанностей.
Персональные данные работников и иных представителей контрагентов - юридических лиц включают:
фамилию, имя, отчество;
паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.);
сведения о регистрации по месту жительства (включая адрес, дату регистрации);
контактные данные (включая номера рабочего, домашнего и (или) мобильного телефона, электронной почты и др.);
должность;
иные данные, необходимые для исполнения взаимных прав и обязанностей между УЗ «31-я городская поликлиника» и контрагентом.
Персональные данные контрагентов - физических лиц включают:
фамилию, имя, отчество;
гражданство;
паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, - дата выдачи, наименование органа, выдавшего документ, и др.);
сведения о регистрации по месту жительства (включая адрес, дату регистрации);
номер и серия страхового свидетельства государственного социального страхования;
данные об образовании, повышении квалификации и профессиональной переподготовке, ученой степени, ученом звании;
реквизиты банковского счета;
идентификационный номер налогоплательщика;
специальность, профессию, квалификацию;
контактные данные (включая номера домашнего и (или) мобильного телефона, электронной почты и др.);
данные свидетельства о регистрации права собственности;
иные данные, необходимые для исполнения взаимных прав и обязанностей между Организацией и контрагентом.
Персональные и иные данные пациентов включают:
фамилию, имя, отчество;
гражданство;
дату рождения;
паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.);
сведения о регистрации по месту жительства (включая адрес, дату регистрации);
сведения о месте фактического проживания;
контактные данные (включая номера рабочего, домашнего и (или) мобильного телефона, электронной почты и др.);
сведения о трудовой деятельности (место работы, должности);
сведения о социальных льготах;
пол;
рост, вес;
биометрические персональные данные (включая фотографии, изображения с камер видеонаблюдения, записи голоса);
генетические персональные данные;
медицинские данные:
семейный анамнез;
аллергологический анамнез;
лекарственная непереносимость;
акушерско-гинекологический анамнез (для женщин);
метрические данные;
профилактические прививки;
заключительные (уточненные) диагнозы;
лабораторные исследования, рентгеновские исследования, функциональные исследования;
оперативные вмешательства;
скорая медицинская помощь;
лекарственное обеспечение и обеспечение изделиями медицинского назначения;
немедикаментозное лечение;
физиотерапевтическое лечение;
химиотерапия;
лучевая терапия;
диспансеризация;
временная нетрудоспособность;
инвалидность;
регистры;
информация, составляющая врачебную тайну (факт обращения за медицинской помощью; состояние здоровья; сведения о наличии заболеваний; диагноз; методы оказания медицинской помощи; риски, связанные с медицинским вмешательством; альтернативы предполагаемому медицинскому вмешательству; иные сведения личного характера; информация о результатах патологоанатомического исследования);
иные данные, необходимые для медицинского обслуживания пациентов, регистрации и рассмотрения их обращений.
Персональные данные иных субъектов включают:
фамилию, имя, отчество;
контактные данные (включая номера домашнего и (или) мобильного телефона, электронной почты и др.);
паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.);
сведения о регистрации по месту жительства (включая адрес, дату регистрации);
номер и серию страхового свидетельства государственного социального страхования;
данные об образовании, повышении квалификации и профессиональной переподготовке, ученой степени, ученом звании;
реквизиты банковского счета;
идентификационный номер налогоплательщика;
специальность, профессию, квалификацию;
иные данные, необходимые для исполнения взаимных прав и обязанностей между УЗ «31-я городская поликлиника» и контрагентом.
ГЛАВА 3
ПРИНЦИПЫ, УСЛОВИЯ И ПРАВИЛА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Принципы обработки персональных данных:
обработка персональных данных должна осуществляться на законной и справедливой основе;
обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
обработке подлежат только те персональные данные, которые отвечают целям их обработки;
содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
при обработке персональных данных должны быть обеспечены их точность и достаточность, а в необходимых случаях и актуальность сведений, предоставляемых субъектом персональных данных, по отношению к целям обработки;
хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
3.2. Условия обработки персональных данных:
3.2.1. обработка персональных данных осуществляется с согласия субъектов персональных данных, если иное не предусмотрено законодательством. Получение согласия осуществляется в соответствии с Законом о защите персональных данных.
3.3. Персональные данные обрабатываются в УЗ «31-я городская поликлиника» такими способами, как:
неавтоматизированная обработка;
автоматизированная обработка.
3.4. Обработка персональных данных осуществляется путем:
получения оригиналов необходимых документов, предоставляемых субъектами персональных данных;
получения заверенных в установленном порядке копий документов, содержащих персональные данные, или копирования оригиналов документов;
формирования персональных данных в ходе кадровой работы;
получения информации, содержащей персональные данные, в устной и письменной форме непосредственно от субъектов персональных данных;
получения персональных данных в ответ на запросы, направляемые УЗ «31-я городская поликлиника» в органы государственной власти, иные государственные органы, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством;
получения персональных данных из общедоступных источников;
фиксации (регистрации) персональных данных в журналах, книгах, реестрах и других учетных формах;
внесения персональных данных в информационные базы УЗ «31-я городская поликлиника»
использования иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой УЗ «31-я городская поликлиника» деятельности.
3.5. Передача персональных данных третьим лицам, в том числе трансграничная передача, допускается только с письменного согласия субъектов персональных данных, за исключением случаев, когда это необходимо для предупреждения угрозы жизни и здоровью субъектов персональных данных, а также в иных случаях, предусмотренных законодательством.
Персональные данные передаются третьим лицам в соответствии с Порядком обработки персональных данных.
3.6. Все персональные данные являются конфиденциальными, за исключением общедоступных персональных данных.
Общедоступными персональными данными являются персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов.
3.7. Персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено законодательством.
ГЛАВА 4
МЕРЫ ПО ОБЕСПЕЧЕНИЮ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. УЗ «31-я городская поликлиника» обеспечивает защиту персональных данных при их обработке в соответствии с законодательством и локальными правовыми актами на основании принимаемых им правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий.
4.2. Защита персональных данных обеспечивает предотвращение нарушения конфиденциальности, целостности и доступности персональных данных при их обработке.
4.3. УЗ «31-я городская поликлиника» собирает и обрабатывает персональные данные в порядке и в целях, предусмотренных законодательством и настоящим Положением.
4.4. УЗ «31-я городская поликлиника» защищает персональные данные работников в целях:
предотвращения утечки, хищения, утраты, искажения, подделки и иных неправомерных действий с персональными данными;
защиты конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных;
обеспечения прав субъектов в области персональных данных;
4.5. УЗ «31-я городская поликлиника»
обеспечивает запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных сотрудников, пациентов, контрагентов с использованием баз данных, реестров предусмотренных законодательством;
разрабатывает и утверждает локальные правовые акты о защите персональных данных;
определяет и закрепляет перечень персональных данных;
ограничивает доступ к информации, составляющей персональные данные, закрепляет порядок обращения с этой информацией, особые условия хранения материальных носителей и информации в электронном виде;
ведет учет лиц, получивших доступ к персональным данным, или лиц, которым предоставлена или передана такая информация;
заключает с лицами, получившими доступ к персональным данным, обязательства о соблюдении порядка обработки персональных данных. Включает условия о правах, обязанности и ответственности в области обработки и защиты персональных данных в трудовые договоры, заключенные с этими лицами;
обучает работников, получивших доступ к персональным данным, правилам обработки и методам защиты персональных данных с учетом Указа Президента Республики Беларусь от 28.10.2021 N 422 «О мерах по совершенствованию защиты персональных данных».
4.6. Лица, имеющие доступ к персональным данным и ответственные за их обработку, должны принимать меры по защите персональных данных от нецелевого незаконного использования.
Перечень лиц, получающих доступ к персональным данным и осуществляющих их обработку, утверждается приказом главного врача УЗ «31-я городская поликлиника». Указанные работники получают доступ к персональным данным только после прохождения процедуры допуска.
4.7. Допуск к конфиденциальным персональным данным включает:
ознакомление работника с законодательством о защите персональных данных, об ответственности за его нарушение, а также с локальными правовыми актами УЗ «31-я городская поликлиника» в области обработки и защиты персональных данных;
обязанность работника соблюдать режим конфиденциальности персональных данных, к которым он получает доступ. Оформление обязательства о соблюдении порядка обработки персональных данных;
обязанность работника по неразглашению сведений конфиденциального характера после прекращения трудовых отношений;
обучение методам и формам защиты конфиденциальной информации, принятым в УЗ «31-я городская поликлиника»
обязательство не использовать сведения конфиденциального характера в деятельности, не связанной с деятельностью УЗ «31-я городская поликлиника». С лицами, получающими доступ к персональным данным и осуществляющими обработку персональных данных, заключаются трудовые договоры (контракты) или дополнительные соглашения к трудовым договорам (контрактам) с условием об обеспечении конфиденциальности персональных данных.
4.11. Все документы, содержащие персональные данные, хранятся с соблюдением режима конфиденциальности. К ним имеют доступ только те лица, которые допущены к таким сведениям в силу исполнения ими своих должностных (функциональных) обязанностей.
4.12. При работе с документами, содержащими персональные данные, запрещается:
знакомить с ними неуполномоченных лиц;
использовать информацию из этих документов в открытых сообщениях, докладах, переписке, рекламе;
предоставлять свой компьютер для работы другим работникам;
оставлять документы на рабочем месте;
оставлять включенный компьютер без присмотра.
4.14. Меры защиты персональных данных при их автоматизированной обработке устанавливаются в соответствии со специальными требованиями к технической защите информации, определенными Оперативно-аналитическим центром при Президенте Республики Беларусь и Национальным центром защиты персональных данных Республики Беларусь, а также в соответствии с локальными правовыми актами УЗ «31-я городская поликлиника» в области обеспечения информационной безопасности.
4.15. При автоматизированной обработке персональных данных для каждой информационной системы организационные и (или) технические меры определяются с учетом уровней защищенности персональных данных, актуальных угроз безопасности персональных данных и информационных технологий, используемых в информационной системе УЗ «31-я городская поликлиника».
ГЛАВА 5
ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Субъекты персональных данных имеют право:
на полную информацию о своих персональных данных, обрабатываемых в УЗ «31-я городская поликлиника»;
доступ к своим персональным данным, включая право на получение копии любой записи, содержащей персональные данные, за исключением случаев, предусмотренных законодательством;
уточнение своих персональных данных, их блокирование или удаление в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
дополнение своих персональных данных оценочного характера заявлением, выражающим собственную точку зрения;
извещение всех лиц, которым ранее были сообщены их неверные или неполные персональные данные, обо всех произведенных в них исправлениях или дополнениях;
отзыв согласия на обработку своих персональных данных;
обжалование в соответствии с законодательством действий УЗ «31-я городская поликлиника» при обработке персональных данных или его бездействия;
осуществление иных прав, предусмотренных законодательством.
5.2. Субъекты персональных данных обязаны:
сообщать в отдел кадров о происшедших изменениях в анкетных данных не позднее двух недель с момента их изменения;
проходить обучение и проверку знаний в области обработки и защиты персональных данных;
соблюдать настоящее Положение;
сохранять конфиденциальность полученных персональных данных.
ГЛАВА 6
ОБЯЗАННОСТИ РАБОТНИКОВ ПРИ РАБОТЕ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ ПРИ УДАЛЕННОЙ РАБОТЕ
6.1. Работники, которые обрабатывают документы и информацию с персональными данными, в режиме удаленной работы обязаны:
в нерабочее время отключать доступ к удаленному рабочему столу через VPN, а также при кратковременном отсутствии на рабочем месте блокировать устройство (компьютер, ноутбук, планшет), которое является собственностью нанимателя;
немедленно информировать руководителя структурного подразделения о фактах утраты (недостачи) документов (отдельных листов), содержащих персональные данные работников, а также при пересылке курьерскими службами или почтой;
незамедлительно сообщать инженеру электронику о попытке или факте взлома устройства;
вовремя обновлять пароли и программное обеспечение по требованию системы;
устанавливать пароли повышенного уровня сложности или использовать двойную аутентификацию;
для обмена конфиденциальной информацией между работниками использовать только корпоративную почту.
6.2. Работникам, которые обрабатывают документы и информацию с персональными данными, в режиме удаленной работы запрещено:
разглашать свои индивидуальные пароли доступа к компьютерным, сетевым и иным информационным ресурсам;
использовать для сохранения персональных данных работников личные (не принадлежащие нанимателю) компьютеры (в том числе мобильные - ноутбуки, смартфоны, мобильные телефоны) и съемные USB-накопители;
отправлять рабочие файлы (сканы, фотографии) на личную электронную почту и другие внешние адреса, в том числе с помощью мессенджеров;
использовать удаленный доступ к рабочему столу или компьютер, ноутбук, планшет, смартфон в личных целях;
устанавливать сторонние программы на устройство, которое находится в собственности нанимателя, без согласования с ним:
использовать облачные хранилища в целях копирования рабочей конфиденциальной информации;
отключать или заменять антивирусную защиту на устройстве, которое находится в собственности нанимателя;
отключать неиспользуемые Bluetooth и Wi-Fi. Также необходимо убедиться, что на домашнем роутере настроено надежное шифрование и ограничить число подключаемых внешних устройств (USB, карт памяти, телефонов, внешних жестких дисков и др.), особенно если их используют совместно с другими людьми;
отвечать на запросы, которые требуют предоставления персональных данных работников без согласования с нанимателем;
допускать к удаленному рабочему столу или устройству, которое находится в собственности нанимателя, третьих лиц.
ГЛАВА 7
ПРАВА И ОБЯЗАННОСТИ УЗ «31-Я ГОРОДСКАЯ ПОЛИКЛИНИКА»
7.1. УЗ «31-я городская поликлиника» обязано принимать следующие необходимые и достаточные меры для выполнения обязанностей оператора, предусмотренных законодательством:
назначать лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных;
издавать документы, определяющие политику УЗ «31-я городская поликлиника» в отношении обработки персональных данных, а также иные локальные правовые акты, устанавливающие процедуры, направленные на предотвращение и выявление нарушений законодательства и устранение последствий таких нарушений;
применять правовые, организационные и технические меры для защиты персональных данных субъектов персональных данных от неправомерного или случайного доступа к ним, удаления, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий;
разъяснять субъектам персональных данных юридические последствия отказа предоставить их персональные данные, если предоставление персональных данных является обязательным в соответствии с законодательством;
блокировать неправомерно обрабатываемые персональные данные, прекращать обработку персональных данных в соответствии с законодательством;
уведомлять субъектов персональных данных об устранении допущенных нарушений при обработке их персональных данных;
предоставлять субъектам персональных данных по их просьбе или их представителям информацию, касающуюся обработки их персональных данных, в порядке, установленном законодательством и локальными правовыми актами УЗ «31-я городская поликлиника».
осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных законодательству о персональных данных, требованиям к защите персональных данных, политике оператора в отношении обработки персональных данных, локальным правовым актам оператора.
7.2. УЗ «31-я городская поликлиника» имеет право:
получать достоверные персональные данные от субъекта персональных данных;
привлекать к дисциплинарной и иной ответственности лиц, нарушивших правила обработки и получения персональных данных.
ГЛАВА 8
ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Лица, виновные в нарушении законодательства и локальных правовых актов УЗ «31-я городская поликлиника» в области обработки и защиты персональных данных, несут дисциплинарную, административную и уголовную ответственность.
8.2. Моральный вред, причиненный субъектам персональных данных вследствие нарушения их прав, правил обработки персональных данных, а также требований к защите персональных данных, установленных законодательством и локальными правовыми актами УЗ «31-я городская поликлиника» в области обработки и защиты персональных данных, подлежит возмещению в соответствии с законодательством.