УТВЕРЖДЕНО
приказ главного врача учреждения здравоохранения
«Брестская центральная поликлиника»
31.08.2022 № 160-п-5
ПОЛИТИКА
учреждения здравоохранения «Брестская центральная поликлиника» в отношении обработки персональных данных
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Политика в отношении обработки персональных данных в учреждении здравоохранения «Брестская центральная поликлиника» (далее, если не указано иное, - учреждение здравоохранения) определяет основные принципы, цели обработки персональных данных, основные функции лиц ответственных за организацию обработки персональных данных и осуществление внутреннего контроля за обработкой персональных данных, права субъектов персональных данных, меры, принимаемые для обеспечения защиты персональных данных.
1.2. Политика разработана с учетом требований Конституции Республики Беларусь, законодательных и иных нормативных и правовых актов в области персональных данных.
1.3. Для целей настоящей Политики применяются термины и их определения в значениях, установленных Законом Республики Беларусь от 7 мая 2021 г. № 99-З «О защите персональных данных» (далее - Закон).
1.4. Оператор - учреждение здравоохранения «Брестская центральная поликлиника», расположенное по адресу: 224023, г. Брест, улица Советской Конституции, 8.
ГЛАВА 2
ПРИНЦИПЫ, ЦЕЛИ И ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Учреждение здравоохранения, являясь Оператором, осуществляет обработку персональных данных граждан Республики Беларусь, иностранных граждан, лиц без гражданства, включая работников и пациентов учреждения здравоохранения, а также других субъектов персональных данных, не состоящих с учреждением здравоохранения в трудовых отношениях.
2.2. Настоящая Политика направлена на обеспечение защиты прав и свобод граждан Республики Беларусь, иностранных граждан, лиц без гражданства, работников учреждения здравоохранения, в том числе защиты права на неприкосновенность частной жизни, личную, семейную и служебную тайну.
2.3. Обработка персональных данных в учреждении здравоохранения осуществляется на основе следующих принципов:
обработка персональных данных осуществляется на законной и справедливой основе;
обработка персональных данных осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;
обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами;
обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;
содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
обработка персональных данных носит прозрачный характер. Субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных;
Оператор принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;
хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
2.4. Персональные данные обрабатываются в учреждении здравоохранения с целью выполнения задач и осуществления функций в соответствии с законодательными актами:
обеспечения соблюдения Конституции Республики Беларусь, законодательных и иных нормативных правовых актов, локальных правовых актов учреждения;
осуществления функций, полномочий и обязанностей, возложенных законодательством на учреждение здравоохранения, в том числе по предоставлению персональных данных в органы государственной власти, в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, а также иные государственные органы;
регулирования трудовых отношений с работниками учреждения (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
обработки информации (резюме) кандидатов на трудоустройство;
ведения бухгалтерского и налогового учета;
защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
внесения и обработки персональных данных пациента и информации, составляющей врачебную тайну, при формировании электронной медицинской карты пациента, информационных систем, информационных ресурсов, баз (банков) данных, реестров (регистров) в здравоохранении;
оказания медицинской помощи, направления в другие медицинские учреждения, выписки лекарственных препаратов, выдачи, продлении, закрытии листков нетрудоспособности (справок о временной нетрудоспособности), проведения всех видов медицинских осмотров, вакцинации, внесения сведений в единую автоматизированную информационную систему учета лиц, вакцинированных против COVID-19, внесение сведений в Единый регистр трансплантации, выдачи справки о смерти, осуществления административных процедур, оформления на ВКК и МРЭК, направления анализов, выписок по электронной почте, оказания медицинских услуг на основании страховки;
подготовки, заключения, исполнения и прекращения договоров с контрагентами;
формирования справочных материалов для внутреннего информационного обеспечения деятельности учреждения здравоохранения;
исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством об исполнительном производстве;
осуществления прав и законных интересов учреждения здравоохранения в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными актами учреждения здравоохранения, либо достижения общественно значимых целей;
рассмотрения обращений, в том числе внесенных в книгу замечаний и предложений;
в других целях, установленных Законом и иными законодательными актами.
2.5. Правовые основания обработки персональных данных:
обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных Законом и иными законодательными актами:
при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством;
для организации и проведения государственных статистических наблюдений, формирования официальной статистической информации;
при получении персональных данных оператором на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
при обработке персональных данных, когда они указаны в документе, адресованном оператору и подписанном субъектом персональных данных, в соответствии с содержанием такого документа;
для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
в отношении распространенных ранее персональных данных до момента заявления субъектом персональных данных требований о прекращении обработки распространенных персональных данных, а также об их удалении при отсутствии иных оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами;
в случаях, когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;
в случаях, когда Законом и иными законодательными актами прямо предусматривается обработка персональных данных без согласия субъекта персональных данных;
если специальные персональные данные сделаны общедоступными персональными данными самим субъектом персональных данных;
в целях организации оказания медицинской помощи при условии, что такие персональные данные обрабатываются медицинским, фармацевтическим или иным работником здравоохранения, на которого возложены обязанности по обеспечению защиты персональных данных и в соответствии с законодательством распространяется обязанность сохранять врачебную тайну;
для осуществления административных процедур;
в случаях, когда обработка специальных персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;
в случаях, когда Законом и иными законодательными актами прямо предусматривается обработка специальных персональных данных без согласия субъекта персональных данных;
в случае обработки персональных данных без согласия субъекта персональных данных в целях исполнения нормативных правовых документов, регламентирующих определенные сферы деятельности;
в иных законных случаях.
2.6. Перечень персональных данных, обрабатываемых в учреждении здравоохранения, определяется в соответствии с законодательством с учетом целей обработки персональных данных, указанных в настоящей Политике.
ГЛАВА 3
ФУНКЦИИ УЧРЕЖДЕНИЯ ЗДРАВООХРАНЕНИЯ ПРИ ОСУЩЕСТВЛЕНИИ ОБРАБОТКИ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Учреждение здравоохранения при осуществлении обработки персональных данных:
принимает необходимые и достаточные меры (правовые, организационные и технические) для обеспечения выполнения требований законодательства и локальных актов учреждения здравоохранения в области защиты персональных данных;
принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
назначает структурное подразделение или лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных;
издает локальные правовые акты, определяющие политику и вопросы обработки и защиты персональных данных в учреждении здравоохранения;
осуществляет ознакомление работников учреждения здравоохранения, непосредственно осуществляющих обработку персональных данных, с положениями законодательства и локальных актов учреждения здравоохранения в области персональных данных, в том числе c требованиями к защите персональных данных, и обучение указанных работников;
публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;
сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством;
прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством в области персональных данных;
осуществляет обработку только тех персональных данных, которые необходимы для выполнения заявленных целей, и не допускает их избыточной обработки;
осуществляет хранение персональных данных в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных;
не осуществляет передачу персональных данных третьим лицам без согласия субъекта и не распространяет персональные данные, за исключением случаев, предусмотренных законодательными актами;
совершает иные действия, предусмотренные законодательством в области персональных данных.
3.2. Обработка персональных данных в учреждении здравоохранения осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством в области персональных данных.
3.3. Учреждение здравоохранения вправе поручить обработку персональных данных от имени учреждения здравоохранения или в его интересах уполномоченному лицу на основании заключаемого с этим лицом договора.
Договор должен содержать:
цели обработки персональных данных;
перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;
обязанности по соблюдению конфиденциальности персональных данных;
меры по обеспечению защиты персональных данных в соответствии со статьей 17 Закона о защите персональных данных.
Уполномоченное лицо не обязано получать согласие субъекта персональных данных, если для обработки персональных данных по поручению учреждения необходимо получение согласия субъекта персональных данных, такое согласие получает учреждение здравоохранения.
3.4. В целях внутреннего информационного обеспечения учреждение может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, адрес, абонентский номер, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.
3.5. Доступ к обрабатываемым в учреждении здравоохранения персональным данным разрешается только работникам учреждения, занимающим должности, включенные в перечень должностей структурных подразделений и административно-управленческих работников учреждения здравоохранения, имеющих доступ и осуществляющих обработку персональных данных.
3.6. Обработка персональных данных в учреждении здравоохранения осуществляется как с использованием средств автоматизации, так и без использования средств автоматизации, при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списка, базы данных, журналы).
3.7. Ответственное лицо за осуществление внутреннего контроля за обработкой персональных данных (далее - ответственное лицо) осуществляет следующие функции:
принимает необходимые и достаточные меры для обеспечения выполнения требований законодательства и локальных правовых актов учреждения здравоохранения в области персональных данных;
разрабатывает и поддерживает в актуальном состоянии документы,
определяющие политику оператора в отношении обработки персональных
данных;
рассматривает заявления, жалобы субъектов персональных данных
по вопросам обработки персональных данных;
проводит разъяснительную работу по вопросам применения законодательства о персональных данных.
ГЛАВА 4
КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Учреждение здравоохранения обрабатывает персональные данные следующих категорий субъектов:
работники всех структурных подразделений и административно-управленческих работников учреждения;
кандидаты на рабочие места;
работники и иные представители контрагентов - юридических лиц;
контрагенты - физические лица;
пациенты учреждения здравоохранения, лица, обратившиеся за оказанием медицинской помощи;
лица, указанные в части второй статьи 18 Закона о здравоохранении;
иные субъекты, взаимодействие которых с Оператором создает необходимость обработки персональных данных (для обеспечения реализации целей обработки, указанных в настоящей Политике).
ГЛАВА 5
ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Учреждение здравоохранения осуществляет обработку персональных данных, то есть совершает любое действие или совокупность действий, совершаемых с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
5.2. Перечень персональных данных, обрабатываемых в учреждении, определяется в соответствии с законодательством с учетом целей обработки персональных данных, указанных в настоящей Политике.
5.3. Обработка специальных персональных данных осуществляется в порядке, установленном законодательством.
5.4. Персональные данные работников учреждения здравоохранения включают:
фамилию, имя, отчество (а также все предыдущие фамилии);
дату рождения;
гражданство;
паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, - дата выдачи, наименование органа, выдавшего документ, и др.);
пол;
сведения о регистрации по месту жительства (включая адрес, дату регистрации);
сведения о месте пребывания;
биометрические персональные данные (включая фотографии, изображения с камер видеонаблюдения, записи голоса);
сведения о социальных льготах и выплатах;
контактные данные (включая номера рабочего и (или) мобильного телефона, электронной почты и др.);
данные о родителях, опекунах, попечителях, семейном положении,
супруге, ребенке (детях);
данные об образовании, ученой степени, ученом звании;
данные о роде занятий;
данные об исполнении воинской обязанности;
данные об инвалидности;
реквизиты банковского счета (карт-счета);
иные данные, необходимые для исполнения взаимных прав и обязанностей.
5.5. Персональные и иные данные пациентов включают:
фамилию, имя, отчество;
гражданство;
дату рождения;
паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.);
сведения о регистрации по месту жительства (включая адрес, дату регистрации);
сведения о месте фактического проживания;
контактные данные (включая номера рабочего, домашнего и (или)
мобильного телефона, электронной почты и др.);
сведения о трудовой деятельности (место работы, должности);
сведения о социальных льготах;
пол;
рост, вес;
биометрические персональные данные (включая фотографии, изображения с камер видеонаблюдения, записи голоса);
генетические персональные данные;
медицинские данные:
семейный анамнез;
анамнез жизни;
аллергологический анамнез;
лекарственная непереносимость;
реакция на ИЛС;
трансфузиологический анамнез;
акушерско-гинекологический анамнез (для женщин);
метрические данные;
профилактические прививки;
заключительные (уточненные) диагнозы;
лабораторные исследования, лучевые и радиологические исследования, функциональные исследования;
оперативные вмешательства;
скорая медицинская помощь;
лекарственное обеспечение и обеспечение изделиями медицинского назначения;
немедикаментозное лечение;
физиотерапевтическое лечение;
ЛФК и массаж;
нетрадиционные методы лечения;
лучевая терапия;
диспансеризация;
временная нетрудоспособность;
инвалидность;
сведения из регистров;
информация, составляющая врачебную тайну (факт обращения за медицинской помощью; состояние здоровья; сведения о наличии заболеваний; диагноз; методы оказания медицинской помощи; риски, связанные с медицинским вмешательством; альтернативы предполагаемому медицинскому вмешательству; иные сведения личного характера; информация о результатах патологоанатомического исследования);
иные данные, необходимые для медицинского обслуживания пациентов, регистрации и рассмотрения их обращений.
5.6. Персональные данные иных субъектов включают данные, необходимые для исполнения взаимных прав и обязанностей между учреждением здравоохранения и контрагентом.
ГЛАВА 6
ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ, МЕРЫ, ПРИНИМАЕМЫЕ ДЛЯ ОБЕСПЕЧЕНИЯ ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ОПЕРАТОРА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Права субъекта персональных данных являются действенным инструментом контроля за обработкой принадлежащих ему персональных данных.
6.2. Субъект персональных данных имеет право на:
отзыв согласия субъекта персональных данных;
получение информации, касающейся обработки персональных данных, и изменение персональных данных;
требование прекращения обработки персональных данных и (или) их удаления;
обжалование действий (бездействия) и решений оператора, связанных с обработкой персональных данных.
6.3. Права, указанные в настоящей Политике, принадлежат субъекту персональных данных вне зависимости от правового основания обработки персональных данных (на основании согласия либо без его получения).
6.4. Право субъекта на доступ к его персональным данным может быть ограничено в соответствии с законодательством.
6.5. Субъекты персональных данных, полагающие, что их права, свободы и законные интересы нарушены при обработке персональных данных, вправе направить в Национальный центр защиты персональных данных жалобу по вопросам обработки персональных данных.
6.6. Субъект персональных данных обязан:
представлять учреждению здравоохранения достоверные персональные данные;
своевременно сообщать учреждению здравоохранения об изменениях и дополнениях своих персональных данных;
осуществлять свои права в соответствии с законодательством и локальными актами учреждения здравоохранения в области обработки и защиты персональных данных;
исполнять иные обязанности, предусмотренные законодательством и локальными актами учреждения здравоохранения в области обработки и защиты персональных данных.
6.7. Меры для обеспечения выполнения учреждением здравоохранения обязанностей Оператора, предусмотренных законодательством в области персональных данных, включают:
предоставление субъектам персональных данных необходимой информации до получения их согласий на обработку персональных данных;
разъяснение субъектам персональных данных их прав, связанных с обработкой персональных данных;
получение письменных согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством;
издание документов, определяющих политику учреждения здравоохранения в отношении обработки персональных данных;
ознакомление работников, непосредственно осуществляющих обработку персональных данных в учреждении здравоохранения, с положениями законодательства о персональных данных;
осуществление технической и криптографической защиты персональных данных в учреждении в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов, содержащих персональные данные;
обеспечение неограниченного доступа, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику учреждения в отношении обработки персональных данных, до начала такой обработки;
прекращение обработки персональных данных при отсутствии оснований для их обработки;
незамедлительное уведомление Национального центра защиты персональных данных по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных;
осуществление хранения персональных данных в форме, позволяющей идентифицировать субъектов персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
ГЛАВА 7
КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА И ЛОКАЛЬНЫХ АКТОВ УЧРЕЖДЕНИЯ ЗДРАВООХРАНЕНИЯ В ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Контроль за соблюдением структурными подразделениями учреждения здравоохранения законодательства и локальных правовых актов учреждения здравоохранения в области персональных данных осуществляется с целью предотвращения и выявления нарушений, возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.
7.2. Внутренний контроль за соблюдением законодательства и локальных правовых актов учреждения здравоохранения в области персональных данных, в том числе требований к защите персональных данных осуществляется ответственным лицом.
7.3. Персональная ответственность за соблюдение требований законодательства и локальных нормативных правовых актов учреждения здравоохранения в области персональных данных в структурных подразделениях учреждения здравоохранения, а также за обеспечение конфиденциальности и безопасности персональных данных в указанных подразделениях возлагается на их руководителей.