Регистратура (взрослая): (+375) 2132 3-1040
Регистратура (детская): (+375) 2132 3-1037

skype-logo.png - 6.03 kB :  Info-lepelcrb_by.png - 2.01 kB

Политика оператора в отношении обработки персональных данных

Политика оператора в отношении обработки персональных данных

 

    УТВЕРЖДЕНО
приказом главного врача
УЗ «Лепельская ЦРБ»
от  17.11.2021 г. №293-А
ПОЛИТИКА
оператора в отношении обработки
персональных данных
   
 
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
 
     1. Политика обработки персональных данных в УЗ «Лепельская ЦРБ» (далее — Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в УЗ «Лепельская ЦРБ» персональных данных, функции УЗ «Лепельская ЦРБ» при обработке персональных данных, права субъектов персональных данных, а также требования к защите персональных данных.
     2. Политика разработана с учетом требований Конституции Республики Беларусь, законодательных и иных нормативных правовых актов Республики Беларусь в области персональных данных.
     3. Положения Политики служат основой для разработки локальных правовых актов, регламентирующих УЗ «Лепельская ЦРБ» вопросы обработки персональных данных работников и других субъектов персональных данных.
 
ГЛАВА 2
ЗАКОНОДАТЕЛЬНЫЕ И ИНЫЕ НОРМАТИВНЫЕ ПРАВОВЫЕ
АКТЫ РЕСПУБЛИКИ БЕЛАРУСЬ, В СООТВЕТСТВИИ
С КОТОРЫМИ ОПРЕДЕЛЯЕТСЯ ПОЛИТИКА ОБРАБОТКИ
ПЕРСОНАЛЬНЫХ ДАННЫХ
 
     4. Политика обработки персональных данных определяется в соответствии со следующими нормативными правовыми актами:
     Конституция Республики Беларусь;
     Трудовой кодекс Республики Беларусь;
     Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных»;
     Закон Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»;
     Закон Республики Беларусь от 18.06.1993 № 2435-XII                                 «О здравоохранении»;
     Закон Республики Беларусь от 18.07.2011 № 300-З «Об обращениях граждан и юридических лиц»;
     иные нормативные правовые акты Республики Беларусь и нормативные документы уполномоченных государственных органов.
     5. В целях реализации положений Политики разрабатываются соответствующие локальные правовые акты и иные документы, в том числе:
     положение об обработке и защите персональных данных;
     положение о порядке обеспечения конфиденциальности при обработке информации, содержащей персональные данные;
     иные локальные правовые акты и документы, регламентирующие вопросы обработки персональных данных.
     
ГЛАВА 3
ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ, ИСПОЛЬЗУЕМЫЕ
В ЛОКАЛЬНЫХ ПРАВОВЫХ АКТАХ, РЕГЛАМЕНТИРУЮЩИХ
ВОПРОСЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
 
     6. В настоящем Положении применяются термины в значениях, определенных в Законе Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных».
 
ГЛАВА 4
ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ
ДАННЫХ
 
     7. УЗ «Лепельская ЦРБ», являясь оператором персональных данных (далее – Оператор), осуществляет обработку персональных данных работников Оператора.
     8. Обработка персональных данных осуществляется с учетом необходимости обеспечения защиты прав и свобод работников Оператора  и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:
     обработка персональных данных осуществляется на законной и справедливой основе;
     обработка персональных данных осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;
     обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами;
     обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;
     содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
     обработка персональных данных носит прозрачный характер. Субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных;
     оператор принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;
     хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
     9. Персональные данные обрабатываются в целях:
обеспечения соблюдения Конституции Республики Беларусь, законодательных и иных нормативных правовых актов Республики Беларусь, локальных правовых актов Оператора;
     осуществления функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь на Оператора, в том числе по предоставлению персональных данных в государственные органы, в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, а также в иные государственные организации;
     регулирования трудовых отношений с работниками Оператора (содействие в трудоустройстве, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
     защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
     подготовки, заключения, исполнения и прекращения договоров с контрагентами;
     формирования справочных материалов для внутреннего информационного обеспечения деятельности Оператора;
     исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Беларусь об исполнительном производстве;
     в иных законных целях.
ГЛАВА 5
ПЕРЕЧНЬ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ
КОТОРЫХ ОБРАБАТЫВАЮТСЯ
 
     10. Оператором обрабатываются персональные данные следующих категорий субъектов:
     работники Оператора;
     другие субъекты персональных данных (для обеспечения реализации целей обработки, указанных в главе 4 Политики).
 
ГЛАВА 6
ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
 
     11. Перечень персональных данных определяется в соответствии с законодательством и локальными правовыми актами Оператора с учетом целей обработки персональных данных, указанных в главе 4 Политики.
     12. Обработка специальных персональных данных, касающихся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или интимной жизни, привлечения к административной или уголовной ответственности, а также биометрических и генетических персональных данных не осуществляется.
 
ГЛАВА 7
ОСУЩЕСТВЛЕНИЕ ФУНКЦИЙ ПРИ ОБРАБОТКЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ
 
     13. Оператор при осуществлении обработки персональных данных:
принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства и локальных правовых актов Оператора в области персональных данных;
     принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
     назначает структурное подразделение или лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных;
издает локальные правовые акты, определяющие политику и вопросы обработки и защиты персональных данных;
     осуществляет ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства и локальных правовых актов Оператора в области персональных данных, в том числе требованиями к защите персональных данных, и обучение указанных работников;
     публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;
     сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством;
     прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством в области персональных данных;
     совершает иные действия, предусмотренные законодательством в области персональных данных.
 
ГЛАВА 8
УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
 
     14. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством в области персональных данных.
     15. Оператор без согласия субъекта персональных данных не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством.
     16. Оператор вправе поручить обработку персональных данных от имени Оператора или в его интересах уполномоченному лицу на основании заключаемого с этим лицом договора. Договор должен содержать:
     цели обработки персональных данных;
     перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;
     обязанности по соблюдению конфиденциальности персональных данных;
     меры по обеспечению защиты персональных данных в соответствии со статьей 17 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных».
     Уполномоченное лицо не обязано получать согласие субъекта персональных данных. Если для обработки персональных данных по поручению необходимо получение согласия субъекта персональных данных, такое согласие получает.
     17. В целях внутреннего информационного обеспечения может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, адрес, абонентский номер, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.
     18. Доступ к обрабатываемым персональным данным разрешается только работникам, назначенным приказом главного врача.
 
ГЛАВА 9
ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ
И СПОСОБЫ ИХ ОБРАБОТКИ
 
     19. Оператор осуществляет обработку персональных данных (любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных);
     20. Обработка персональных данных осуществляется следующими способами:
     с использованием средств автоматизации;
     без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и иное).
 
ГЛАВА 10
ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
 
     21. Субъекты персональных данных имеют право на:
     отзыв согласия субъекта персональных данных;
     получение информации, касающейся обработки персональных данных, и изменение персональных данных;
     требование прекращения обработки персональных данных и (или) их удаления;
     обжалование действий (бездействия) и решений оператора, связанных с обработкой персональных данных.
 
ГЛАВА 11
МЕРЫ, ПРИНИМАЕМЫЕ ДЛЯ ОБЕСПЕЧЕНИЯ ВЫПОЛНЕНИЯ
ОБЯЗАННОСТЕЙ ОПЕРАТОРА ПРИ ОБРАБОТКЕ
ПЕРСОНАЛЬНЫХ ДАННЫХ
 
     22. Меры, необходимые и достаточные для обеспечения выполнения обязанностей Оператора, предусмотренных законодательством в области персональных данных, включают:
     предоставление субъектам персональных данных необходимой информации до получения их согласий на обработку персональных данных;
     разъяснение субъектам персональных данных их прав, связанных с обработкой персональных данных;
     получение письменных согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством;
     назначение структурного подразделения или лица, ответственного за осуществление внутреннего контроля за обработкой персональных данных;
     издание документов, определяющих политику в отношении обработки персональных данных;
     ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных;
     установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);
     осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные;
     обеспечение неограниченного доступа, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику в отношении обработки персональных данных, до начала такой обработки;
     прекращение обработки персональных данных при отсутствии оснований для их обработки;
     незамедлительное уведомление уполномоченного органа по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных;
     осуществление изменения, блокирования, удаления недостоверных или полученных незаконным путем персональных данных;
     ограничение обработки персональных данных достижением конкретных, заранее заявленных законных целей;
     осуществление хранения персональных данных в форме, позволяющей идентифицировать субъектов персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
     23. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с локальными правовыми актами Оператора, регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных.
 
ГЛАВА 12
КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА И
ЛОКАЛЬНЫХ ПРАВОВЫХ АКТОВ ОПЕРАТОРА В ОБЛАСТИ
ПЕРСОНАЛЬНЫХ ДАННЫХ, В ТОМ ЧИСЛЕ ТРЕБОВАНИЙ К
ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
 
     24. Контроль за соблюдением структурными подразделениями Оператора  законодательства Республики Беларусь и локальных правовых актов Оператора в области персональных данных, в том числе требованиям к защите персональных данных, осуществляется с целью проверки соответствия обработки персональных данных в структурных подразделениях законодательству и локальным правовым актам Оператора в области персональных данных, в том числе требованиям к защите персональных данных, а также принятых мер, направленных на предотвращение и выявление нарушений законодательства в области персональных данных, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.
     25. Внутренний контроль за соблюдением структурными подразделениями Оператора законодательства Республики Беларусь и локальных правовых актов Оператора в области персональных данных, в том числе требованиям к защите персональных данных, осуществляется лицом, ответственным за организацию обработки персональных данных.
     26. Персональная ответственность за соблюдение требований законодательства и локальных нормативных актов Оператора в области персональных данных, а также за обеспечение конфиденциальности и безопасности персональных данных в структурных подразделениях Оператора возлагается на их руководителей.