ГКУЗ "УОКПБ им. В.А. Копосова"
г. Ульяновск
Версия для слабовидящих
Сведения о медицинской организации
Информация для пациентов
Медицинские работники
Контактная информация
Лекарственное обеспечение
Информация для специалистов
Вакансии
Отзывы пациентов
Экология
Чрезвычайная ситуация
Все разделы

Политика конфиденциальности

  1. Общие положения

    Настоящее Положение об обработке персональных данных в государственном казенном учреждении здравоохранения «Ульяновская областная клиническая психиатрическая больница имени В.А. Копосова» (далее - Положение) определяет единый порядок сбора, систематизации, накопления, хранения, использования, уничтожения во время автоматизированной, неавтоматизированной и смешанной обработки персональных данных, обрабатываемых в государственном казенном учреждении здравоохранения «Ульяновская областная клиническая психиатрическая больница имени В.А. Копосова» (далее ГКУЗ «УОКПБ им. В.А. Копосова» или Оператор) в соответствии с законодательством Российской Федерации.

    1. Законодательная и нормативно-правовая база

    Настоящее Положение разработано в соответствии со следующими законодательными и нормативно-правовыми актами:

       1.1. Конституция Российской Федерации;

       1.2. Трудовой кодекс Российской Федерации;

       1.3. Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;

       1.4. Федеральный закон от 02.05.2006 №59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;

       1.5. Федеральный закон от 25.12.2008 № 273-ФЗ «О противодействии коррупции»;

       1.6. Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - 152-ФЗ);

       1.7. Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

       1.8. Федеральный закон «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 № 187-ФЗ;

       1.9. Федеральный закон от 06.12.2011 № 402-ФЗ «О бухгалтерском учете»;

       1.10. Федеральный закон «Об электронной подписи» от 06.04.2011 N 63- ФЗ;

       1.11. Указ Президента Российской Федерации от 01.05.2022 № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации»;

       1.12. Постановление Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

       1.13. Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

       1.14. Постановление Правительства РФ от 15.07.2022 №1272 «Об утверждении типового положения о заместителе руководителя органа (организации), ответственном за обеспечение информационной безопасности в органе (организации), и типового положения о структурном подразделении в органе (организации), обеспечивающем информационную безопасность органа (организации)»;

       1.15. Приказ Росархива от 20.12.2019 № 236.

       1.16. Письмо Минздрава России от 07.12.2015 № 13-2/1538

  2. Основные понятия, используемые в Политике

    В настоящем Положении используются следующие основные понятия:

    2.1. Информация - сведения (сообщения, данные) независимо от формы их представления.

    2.2. Персональные данные - любая информация, относящаяся к прямо или косвенно определённому, или определяемому физическому лицу (субъекту персональных данных).

    2.3. Персональные данные, разрешенные субъектом персональных данных для распространения, - персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном настоящим Федеральным законом (Приложение 9)

    2.4. Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

    2.5. Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

    2.6. Специальные категории персональных данных - персональные данные, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни.

    2.7. Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

    2.8. Неавтоматизированная обработка персональных данных - обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

    2.9. Смешанная обработка персональных данных - обработка персональных данных как с помощью средств вычислительной техники, так и без их использования.

    2.10. Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

    2.11. Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

    2.12. Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

    2.13. Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

    2.14. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

    2.15. Информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

    2.16. Угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого могут стать уничтожение, изменение, блокирование, копирование, предоставление, распространение персональных данных, а также иные неправомерные действия при их обработке в информационной системе персональных данных.

    2.17. Уровень защищенности персональных данных - комплексный показатель, характеризующий требования, исполнение которых обеспечивает нейтрализацию определенных угроз безопасности персональных данных при их обработке в информационных системах персональных данных

    2.18. Документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.

    2.19. Материальные носители- объекты для хранения персональных данных (бумага, CD-R диски, flash накопители и др.).

  3. Права субъектов персональных данных

    Субъект персональных данных имеет право на получение сведений, указанных в части 7 статьи 14 Закона, за исключением случаев, предусмотренных частью 8 статьи 14 Закона. Субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные Законом меры по защите своих прав.

    3.2 В соответствии с частью 7 статьи 14 Закона, субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей: - подтверждение факта обработки персональных данных Оператором; - правовые основания и цели обработки персональных данных; - цели и применяемые Оператором способы обработки персональных данных; - наименование и место нахождения Оператора, сведения о лицах (за исключением сотрудников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Оператором или на основании Закона; обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Законом; - сроки обработки персональных данных, в том числе сроки их хранения; - порядок осуществления субъектом персональных данных прав, предусмотренных Законом; - наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу; - иные сведения, предусмотренные федеральными законами. Эти сведения должны быть предоставлены субъекту персональных данных по его запросу Оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.

    В соответствии с частью 8 статьи 14 Закона право субъекта персональных данных может быть ограничено в соответствии с федеральными законами, в том числе если:

    1) обработка персональных данных, включая персональные данные, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;

    2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;

    3) обработка персональных данных осуществляется в соответствии с законодательствомо противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;

    4) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;

    5) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.

    3.2. В случае если сведения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных, вправе обратиться повторно к Оператору или направить ему повторный запрос в целях получения сведений, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального (предыдущего) обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с таким законом нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.

    3.3. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, а именно: - если обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к Оператору или направить ему повторный запрос не ранее чем через тридцать дней после первоначального обращения или первоначального запроса; - субъект персональных данных вправе повторно обратиться к Оператору до истечения тридцатидневного срока, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на Операторе.

    3.4. Запросы, поступающие Оператору, обрабатываются в соответствии с Законом и с утвержденной инструкцией по ведению делопроизводства в ГКУЗ «УОКПБ им. В.А. Колосова». Ответ на запрос предоставляется в соответствии с законодательством Российской Федерации, при предоставлении документа, удостоверяющего личность. Ответы на запросы граждан и организаций даются в объеме полученного запроса, за исключением данных, содержащихся в материалах запроса или опубликованных в общедоступных источниках. Жалобы субъектов персональных данных (в том числе в электронном виде) на нарушение прав в области незаконного использования их персональных данных, оформленные в соответствии с требованиями, установленными законодательством, регистрируются в журнале регистрации и учета обращений. Лицо, ответственное за организацию обработки персональных данных, несет ответственность за организацию приема и обработку обращений и запросов субъектов персональных данных или их представителей по нарушению прав в области незаконного использования их персональных данных, и осуществляет контроль за приемом и обработкой таких обращений и запросов.

    3.5. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных в любой момент по его письменному заявлению.

  4. Обязанности субъекта персональных данных

    4.1. Субъект персональных данных обязан: передавать Оператору или его представителю достоверные персональные данные, необходимые для достижения законных целей обработки персональных данных, Оператором.

    4.2. Сообщать Оператору или его представителю об изменении своих персональных данных.

  5. Общие права и обязанности Оператора персональных данных

    5.1. При сборе персональных данных Оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Закона.

    5.2. При определении объема и содержания обрабатываемых персональных данных субъекта персональных данных работники Оператора, осуществляющие обработку персональных данных, должны руководствоваться Конституцией РФ, Трудовым кодексом РФ, Законом и иными федеральными законами, а также настоящим Положением.

    5.3. Сотрудник Оператора, осуществляющий обработку персональных данных, при обращении либо при получении запроса от субъекта персональных данных, должен сообщить ему цели обработки персональных данных, их состав, при необходимости ознакомить субъекта персональных данных с положениями Политики обработки персональных данных в ГКУЗ «УОКПБ им. В.А. Колосова», а также, при необходимости, объяснить последствия отказа в предоставлении персональных данных.

    5.4. При обработке персональных данных сотрудники Оператора и иные лица, получившие доступ к персональным данным, обязаны не раскрывать и не распространять третьим лицам персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральными законами и иными нормативными правовыми актами Российской Федерации.

    5.5. При сборе персональных данных, в том числе посредством информационно-коммуникационной сети «Интернет», Оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации, за исключением случаев, указанных в пунктах 2, 3, 4, 8 части 1, статьи 6 Закона, а именно:

         - обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;

         - обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;  обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27.07.2010 года №210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг;

         - обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных.

    5.6. Оператор обязан принимать меры необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных законодательством Российской Федерации в сфере персональных данных и принятых в соответствии с ним нормативными правовыми актами. К таким мерам относятся:

         - назначение Оператором ответственного за организацию обработки персональных данных;

         - издание Оператором документов, определяющих политику Оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

         - применение правовых, организационных и технических мер по обеспечению безопасности персональных данных в соответствии с пунктом 9.7. настоящего Положения; осуществление внутреннего контроля соответствия обработки персональных данных законодательству Российской Федерации и принятым в соответствии с ним нормативным правовым актам; требованиям к защите персональных данных, политике Оператора в отношении обработки персональных данных, локальным актам Оператора;

         - оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства Российской Федерации;

         - ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

    5.7. Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

    5.8. Обеспечение Оператором безопасности персональных данных достигается, в частности:

         - определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;

         - применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных - применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

         - оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;

         - учетом машинных носителей персональных данных; - обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;

         - восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

          - установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных.

  6. Получение персональных данных Оператором

    6.1. Все персональные данные субъекта персональных данных (независимо от указанной в пункте 6 настоящего Положения категории субъекта персональных данных) Оператор получает у него самого. При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 7 статьи 14 Закона.

    6.2. Если персональные данные получены не от субъекта персональных данных, Оператор, до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию: - наименование либо фамилия, имя, отчество и адрес оператора или его представителя; - цель обработки персональных данных и ее правовое основание; - перечень персональных данных; - предполагаемые пользователи персональных данных; - установленные Законом права субъекта персональных данных; - источник получения персональных данных.

    6.3. Оператор освобождается от обязанности предоставить субъекту персональных данных сведения в случаях, если:

         - субъект персональных данных уведомлен об осуществлении обработки его персональных данных соответствующим оператором;

         - персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого либо выгодоприобретателем или поручителем, по которому является субъект персональных данных;

         - персональные данные предназначены для распространения субъектом персональных данных или получены из общедоступного источника;

         - оператор осуществляет обработку персональных данных для статистических или иных исследовательских целей, для осуществления профессиональной деятельности журналиста либо научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных;

         - предоставление субъекту персональных данных сведений, нарушает права и законные интересы третьих лиц.

    6.4. При сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

    6.5. Субъект персональных данных предоставляет Оператору достоверные сведения о себе. Оператор проверяет достоверность сведений, сверяя данные, предоставленные работником, с имеющимися у работника документами.

    6.6. В отдельных случаях, с учетом специфики работы, предусматривается необходимость предъявления дополнительных документов.

    6.7. При оформлении работника Оператора специалист по кадрам действует в соответствии с требованиями Положения о порядке приема и увольнения работников в ГКУЗ «УОКПБ им. В.А. Колосова». Предоставление работниками подложных документов или ложных сведений при поступлении на работу является основанием для расторжения трудового договора.

  7. Режим конфиденциальности персональных данных

    Персональные данные являются конфиденциальной информацией. Операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
На этой странице

Сайт использует сервис веб-аналитики Яндекс Метрика с помощью технологии «cookie». Это позволяет нам анализировать взаимодействие посетителей с сайтом и делать его лучше. Продолжая пользоваться сайтом, вы соглашаетесь с использованием файлов cookie