Политика обработки персональных данных

Приложение к Приказу главного      

врача от_____ _______________ 2022

 

 

ПОЛИТИКА

обработки персональных данных

в учреждении здравоохранения «33-я городская студенческая поликлиника»

1.    Общие положения

                 Настоящий документ    определяет Политику обработки персональных данных в учреждении здравоохранения «33-я городская студенческая поликлиника» (далее - «Поликлиника») в отношении обработки персональных данных и реализации требований к защите персональных данных (далее - «Политика») в соответствии со статьей 17 Закона Республики Беларусь № 99-3 «О защите персональных данных» от 07.05.2021.

                 Политика разработана  в соответствии с действующим законодательством Республики Беларусь о персональных данных и распространяется на все процессы Оператора, связанные с обработкой персональных данных.

Политика вступает в силу с момента подписания руководителем Поликлиники приказа об утверждении Политики. Положения Политики действуют бессрочно, до их отмены. Все изменения в Политику вносятся приказом главного врача.

1.1.  Политика является общедоступным документом, декларирующим основы деятельности Поликлиники при обработке персональных данных, и подлежит опубликованию на официальном сайте в информационно-телекоммуникационной сети «Интернет» (далее - сеть «Интернет») по адресу: 33gsp.by.

2.    Основные понятия

                     В настоящей Политике используются следующие понятия, термины и сокращения:

персональные данные - любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;

специальные персональные данные - персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные;

оператор - государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных. В настоящей Политике под «Оператором» понимается учреждение здравоохранения «Городская клиническая больница скорой медицинской помощи».

субъект персональных данных - физическое лицо, в отношении которого осуществляется обработка персональных данных;

трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства;

обработка персональных данных - любое действие или совокупность действий, совершаемых с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;

распространение персональных данных - действия, направленные на ознакомление с персональными данными неопределенного круга лиц;

предоставление персональных данных - действия, направленные на ознакомление с персональными данными определенных лица или круга лиц;

блокирование персональных данных - прекращение доступа к персональным данным без их удаления;

удаление персональных данных - действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;

автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

информационная система персональных данных (ИСПД) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

работник - физическое лицо, вступившее в трудовые отношения с Поликлиникой;

пациент - физическое лицо, которому оказывается медицинская помощь или которое обратилось за оказанием медицинской помощи в учреждение здравоохранения «33-я городская студенческая поликлиника» независимо от наличия у него заболевания и от его состояния;

соискатель - физическое лицо, претендующее на занятие вакантной должности в штате Поликлиники.

физическое лицо, которое может быть идентифицировано, - физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.

3. Правовые основания обработки персональных данных

Политика Поликлиники в области обработки персональных данных определяется в соответствии с:

Конституцией Республики Беларусь;

Законом Республики Беларусь № 99-3 «О защите персональных данных» от 07.05.2021;

другими нормативно-правовыми актами Республики Беларусь, относящиеся к вопросу обработки и защиты персональных данных.

4.     Принципы обработки персональных данных

Обработка персональных данных осуществляется Поликлиникой на основании следующих принципов:

обработка персональных данных Поликлиникой осуществляется на законном основании;

обработка персональных данных соразмерна заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;

обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных Законом «О защите персональных данных» и иными законодательными актами;

обработка персональных данных без согласия субъекта персональных данных осуществляется Поликлиникой в целях, установленных Законом «О защите персональных данных» и иными законодательными актами;

обработка персональных данных ограничивается достижением конкретных, заявленных законных целей;

содержание и объем обрабатываемых персональных данных соответствует заявленным целям их обработки, обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;

обработка персональных данных носит прозрачный характер. В этих целях субъекту персональных данных в случаях, предусмотренных Законом «О защите персональных данных», предоставляется соответствующая информация, касающаяся обработки его персональных данных;

Поликлиника принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;

хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.

5. Категории субъектов персональных данных

                     Поликлиникой осуществляется обработка полученных в установленном законом порядке персональных данных, принадлежащих:

работникам, их близким родственникам, а также работникам, прекратившим трудовые отношения с Поликлиникой; соискателям работы у Поликлиники;

физическим лицам, состоящим в договорных и иных гражданско-­правовых отношениях с Поликлиникой;

пациентам и их законным представителям.

6. Обработка персональных данных Поликлиникой

Цели обработки персональных данных

                         Поликлиника осуществляет обработку персональных данных в целях: организации оказания медицинской помощи пациентам;

оказания платных медицинских услуг на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;

регулирования трудовых отношений с работниками, организации учета работников в соответствии с требованиями нормативно-правовых актов, содействия соискателям, работникам в трудоустройстве в Поликлинике, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества Поликлиники, работника и третьих лиц.

                        Поликлиника не выполняет обработку специальных персональных данных, касающихся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, а также биометрические персональные данные.       Поликлиника не производит трансграничную передачу персональных данных, за исключением случаев, когда:

дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;

персональные данные получены на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;

персональные данные могут быть получены любым лицом посредством направления запроса в случаях и порядке, предусмотренных законодательством;

такая передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;

обработка персональных данных осуществляется в рамках исполнения международных договоров Республики Беларусь.

 

Перечень действий с персональными данными и способы их обработки

            Поликлиника осуществляет любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.

            Обработка персональных данных Поликлиникой ведется:

использованием средств автоматизации;

без использования средств автоматизации, при этом обеспечиваются поиск персональных данных и доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и другое).

6.1. Получение персональных данных Поликлиникой

            Все персональные данные следует получать от самого субъекта персональных данных.

Обработка персональных данных в целях, установленных настоящей Политикой (п.6), в соответствии со статьями 6, 8 Закона «О защите персональных данных» осуществляется Поликлиникой без получения согласия субъекта персональных данных.

Обработка специальных персональных данных в целях организации оказания медицинской помощи осуществляется медицинским, фармацевтическим или иным работником здравоохранения, на которого возложены обязанности по обеспечению защиты персональных данных и в соответствии с законодательством распространяется обязанность сохранять врачебную тайну.

Обработка персональных данных в целях, помимо заявленных в настоящей Политике, осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных Законом «О защите персональных данных» и иными законодательными актами.

6.2. Предоставление персональных данных третьим лицам

            Предоставление Поликлиникой персональных данных третьим лицам осуществляется исключительно для достижения целей, заявленных для обработки персональных данных в пункте 6 настоящей Политики.

            Передача персональных данных третьим лицам осуществляется с письменного согласия субъекта персональных данных, которое оформляется в соответствии с пунктом 8.5 настоящей Политики.

            Передача персональных данных третьим лицам без письменного согласия субъекта персональных данных осуществляется в случаях, когда Законом «О защите персональных данных» и иными законодательными актами прямо предусматривается обработка персональных данных без согласия субъекта персональных данных.

Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством, договором, стороной которого является субъект персональных данных.

7. Меры по обеспечению безопасности персональных данных при их обработке

            Поликлиника принимает необходимые и достаточные правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.

                    

Права субъекта персональных данных

7.1. Право на отзыв согласия субъекта персональных данных

            Субъект персональных данных вправе в любое время без объяснения причин отозвать свое согласие посредством подачи Поликлинике заявления в порядке, предусмотренном пунктом 8.5 настоящей Политики.

            Поликлиника в пятнадцатидневный срок после получения заявления субъекта персональных данных в соответствии с его содержанием прекращает обработку персональных данных, осуществляет их удаление и уведомляет об этом субъекта персональных данных, если отсутствуют иные основания для таких действий с персональными данными, предусмотренные Законом «О защите персональных данных» и иными законодательными актами.

7.1.1. Окончание срока действия договора, в соответствии с которым осуществлялась обработка персональных данных, или его расторжение влекут последствия, указанные в пункте 8.1.2 настоящей статьи, если иное не предусмотрено этим договором или актами законодательства.

7.2. Право на получение информации, касающейся обработки персональных данных, и изменение персональных данных

            Субъект персональных данных имеет право на получение информации, касающейся обработки своих персональных данных, содержащей:

подтверждение факта обработки персональных данных Поликлиникой;

его персональные данные и источник их получения;

правовые основания и цели обработки персональных данных;

срок, на который дано его согласие (при его наличии);

иную информацию, предусмотренную законодательством.

Для получения информации, субъект персональных данных подает Поликлинике заявление в соответствии с пунктом 7.5 настоящей Политики. При этом субъект персональных данных не должен обосновывать свой интерес к запрашиваемой информации.

7.2.1. Оператор в течение пяти рабочих дней после получения соответствующего заявления субъекта персональных данных, если иной срок не установлен законодательными актами, предоставляет ему в доступной форме информацию, либо уведомляет его о причинах отказа в ее предоставлении. Предоставляется такая информация субъекту персональных данных бесплатно, за исключением случаев, предусмотренных законодательными актами.

7.2.2. Информация, указанная в пункте 7.2, не предоставляется:

если персональные данные могут быть получены любым лицом посредством направления запроса в порядке, установленном законодательством, либо доступа к информационному ресурсу (системе) в глобальной компьютерной сети Интернет;

если обработка персональных данных осуществляется в иных случаях, предусмотренных законодательными актами.

7.2.3. Субъект персональных данных вправе требовать от Поликлиники внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными. В этих целях субъект персональных данных подает заявление в соответствии с пунктом 7.5 настоящей Политики, с приложением соответствующих документов и (или) их заверенных в установленном порядке копий, подтверждающих необходимость внесения изменений в персональные данные.

Поликлиника в пятнадцатидневный срок после получения заявления субъекта персональных данных вносит соответствующие изменения в его персональные данные и уведомляет об этом субъекта персональных данных либо уведомляет субъекта персональных данных о причинах отказа во внесении таких изменений, если иной порядок внесения изменений в персональные данные не установлен законодательными актами.

7.3. Право на получение информации о предоставлении персональных данных третьим лицам

7.3.1. Субъект персональных данных вправе получать от Поликлиники информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно, если иное не предусмотрено законодательными актами.

Для получения указанной информации субъект персональных данных подает заявление Оператору в соответствии с пунктом 7.5 настоящей Политики.

7.3.2. Поликлиника в пятнадцатидневный срок после получения заявления субъекта персональных данных предоставляет ему информацию о том, какие персональные данные этого субъекта и кому предоставлялись в течение года, предшествовавшего дате подачи заявления, либо уведомляет субъекта персональных данных о причинах отказа в ее предоставлении.

 

7.4. Право требовать прекращения обработки персональных данных и (или) их удаления

7.4.1. Субъект персональных данных вправе требовать от Поликлиники бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом «О защите персональных данных» и иными законодательными актами.

Для реализации указанного права субъект персональных данных подает  заявление в порядке, установленном пунктом 7.5 Политики.

7.4.2. Поликлиника в случае, предусмотренном пунктом 7.4.1 настоящей Политики, в пятнадцатидневный срок после получения заявления субъекта персональных данных прекращает обработку персональных данных, а также осуществляет их удаление и уведомляет об этом субъекта персональных данных.

7.4.3. Поликлиника вправе отказать субъекту персональных данных в удовлетворении требований о прекращении обработки его персональных данных и (или) их удалении при наличии оснований для обработки персональных данных, предусмотренных законодательными актами, в том числе если они являются необходимыми для заявленных целей их обработки, с уведомлением об этом субъекта персональных данных в пятнадцатидневный срок.

7.5. Порядок подачи заявления субъектом персональных данных оператору

7.5.1. Субъект персональных данных для реализации прав, предусмотренных пунктами 7.1—7.4 настоящей Политики, подает в Поликлинику заявление в письменной форме либо в виде электронного документа.

7.5.2. Заявление субъекта персональных данных должно содержать:

фамилию, собственное имя, отчество (если таковое имеется) субъекта

персональных данных, адрес его места жительства (места пребывания);

дату рождения субъекта персональных данных;

идентификационный номер субъекта персональных данных, при отсутствии такого номера - номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия или обработка персональных данных осуществляется без согласия субъекта персональных данных;

изложение сути требований субъекта персональных данных;

личную подпись либо электронную цифровую подпись субъекта персональных данных.

7.5.3. Ответ на заявление направляется субъекту персональных данных в форме, соответствующей форме подачи заявления, если в самом заявлении не указано иное.

8. Обязанности Поликлиники

Поликлиника обязана:

разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;

получать согласие субъекта персональных данных, за исключением случаев, предусмотренных пунктом 6.1. настоящей Политики;

обеспечивать защиту персональных данных в процессе их обработки; предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных

третьим лицам, за исключением случаев, предусмотренных Законом «О защите персональных данных» и иными законодательными актами;

Лица, виновные в нарушении положений законодательства Республики Беларусь в области персональных данных при обработке персональных данных, несут ответственность, предусмотренную законодательными актами.