Политика обработки персональных данных

Политика в отношении обработки персональных данных                         

                         

  1. Общие положения

1.1.      Настоящая Политика в отношении обработки персональных данных (далее – Политика) составлена в соответствии с ч.2 ст. 18.1 Федерального закона от 17.07.2006 г. №152-ФЗ «О персональных данных» и действует в отношении персональных данных, которые могут быть получены от субъектов персональных данных.                         

1.2.      Целью Политики является определение правильного способа обработки персональных данных, а также разработка на его основе процедур, предотвращающих или реагирующих на нарушение безопасности персональных данных.                         

   Обрабатываемые персональные данные

2.1.      Основные понятия, используемые в Политике:                         

- персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;                         

- обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;                         

2.2.      Обработка персональных данных в   основана на принципах:                         

- добросовестности и законности целей и способов обработки персональных данных;

- соответствия целей обработки персональных данных полномочиями МО;                         

- соответствия объема и содержания обрабатываемых персональных данных и способов обработки персональных данных целям обработки;                         

- достоверности персональных данных, их актуальности и достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;                         

- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;                         

- ограничения обработки персональных данных при достижении конкретных и законных целей, запрета обработки персональных данных, несовместимых с целями сбора персональных данных.                         

- осуществления хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен действующим законодательством. Персональные данные подлежат уничтожению или обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.                         

2.3.      В рамках настоящей Политики под обрабатываемыми персональными данными понимаются:                         

- персональные данные, предоставляемые пациентами (законными представителями), обращающимися в МО;                          

- персональные данные работников   или кандидатов на замещение вакантных должностей; - граждан, обращающихся в МО и к должностным лицам МО в соответствии с Федеральным законом от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»                         

- граждан, являющихся стороной гражданско-правового договора с МО;                         

- граждан, обращающихся в МО для получения медицинских услуг.                          

                      

  1. Цели сбора и обработки персональных данных

3.1.        собирает, хранит и обрабатывает персональные данные субъектов персональных данных в следующих целях:                          

- для исполнения условий трудового договора и осуществления прав и обязанностей в соответствии с трудовым законодательством Российской Федерации;                         

- для принятия решения о трудоустройстве;                         

- для оказания медицинских услуг, ведения персонифицированного учета в сфере обязательного медицинского страхования в соответствии с действующим законодательством;                         

- оформления документации, установленной действующим законодательством и иными нормативными правовыми документам;                         

- для принятия решений по обращениям граждан Российской Федерации в соответствии с законодательством.                         

3.2.      Срок хранения персональных данных субъекта персональных данных определяется в соответствии с действующим законодательством и иными нормативными правовыми документам.                         

Особенности обработки персональных данных и их передача третьим лицам.                         

3.3.      Доступ к обрабатываемым персональным данным имеют лица, уполномоченные приказом главного врача МО, а также лица, чьи персональные данные подлежат обработке.                         

3.4.      Доступ работников к обрабатываемым персональным данным осуществляется в соответствии с должностными инструкциями, полномочиями, определяемыми приказом главного врача.                         

3.5.      Передача обрабатываемых персональных данных третьим лицам осуществляется по распоряжению главного врача, с письменного согласия субъектов персональных данных, если иное не предусмотрено федеральным законодательством.                         

                     

  1. Меры, применяемые для защиты обрабатываемых персональных данных

 4.1.      МО принимает необходимые и достаточные организационные и технические меры для защиты обрабатываемых персональных данных от неправомерного или случайного доступа, от уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ними со стороны третьих лиц. К таким мерам, в частности, относятся:                         

- назначение сотрудника, ответственного за организацию обработки персональных данных;                         

- осуществление внутреннего контроля соответствия обработки персональных данных Федеральному закону от 17.07.2006 г. №152-ФЗ «О персональных данных»;                         

- ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями действующего законодательства о персональных данных, требованиями к защите персональных данных и иными документами по вопросам обработки персональных данных;                         

- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;                         

- применение средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия;                         

- осуществление учета носителей персональных данных;                          

- установление правил доступа к персональным данным, обрабатываемым в информационных системах персональных данных;                         

- осуществление контроля за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных;                         

- разработка локальных актов по вопросам обработки персональных данных.                         

                         

  1. Изменение Политики. Применимое законодательство

5.1.      МО имеет право вносить изменения в настоящую Политику.                         

5.2.      При внесении изменений в заголовке Политики указывается дата последнего обновления редакции.                          

5.3.      Новая редакция Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.                

                

Бюджетное учреждение Чувашской Республики                 

"Цивильская центральная районная больница"                 

Министерства здравоохранения и социального развития Чувашской Республики                 

                

П Р И К А З                

                

15.01.2013                                                                                                                  № 43а                 

                

г. Цивильск                

                

Во исполнение Федеральных Законов от 27.07.2006г № 152-ФЗ «О персональных данных», от 27.07.2006г № 149-ФЗ «Об информационных технологиях и защите информации», от 10.01.2002г № 1-ФЗ «Об элек-тронной цифровой подписи», приказа Министерства здравоохранения и социального развития Чуваш-ской Республики от 09.03.2011г. №219 «Об организации работы по программе обеспечения необходимы-ми лекарственными препаратами отдельных категорий граждан в Чувашской Республике», в целях обес-печения защиты конфиденциальной информации в лечебно-профилактических учреждениях Цивильского района, в дополнение к приказу № 28 от 09.01.2013г                

ПРИКАЗЫВАЮ:                

1.Возложить персональную ответственность и утвердить список лиц и их дублеров, непосредст-венно имеющих отношение к обработке, подлежащих защите данных, а также за обеспечение со-хранности работы информационных и телекоммуникационных систем (Приложение №1), с подпи-санием соглашения о неразглашении информации, в том числе персональных данных, с которы-ми этот специалист работает.                

  1. Утвердить список конкретных помещений, в которых допускается обработка защищенной ин-формации и регламент работы ответственных работников, осуществляющих работу с защищен-ными данными (Приложение№2)
  2. Утвердить Положение об информационной безопасности в БУ «Цивильская ЦРБ» (Приложение №3).
  3. Утвердить Перечень информационных систем, их составляющих, подлежащих к защи-те(Приложение №4).
  4. Утвердить Инструкцию о порядке работы пользователей с защищенными данными( Приложе-ние №5)
  5. Контроль за исполнением приказа оставляю за собой

                

Приложение № 1 

к приказу БУ     «Цивильская ЦРБ»

             № 43а от 15.01.2013г.                

                

Список лиц и их дублеров, непосредственно имеющих отношения к обработке,  подлежащих защите данных, а также за обеспечение сохранности и конфиденциальности информации                

№ п/п ФИО   должность     примечание                

  1. Пыренкова Е.Г. Оператор ЭВМ         Ответственное лицо                
  2. Семенова Р.И. Оператор ЭВМ         Дублер                
  3. Андреева Ф.В. Медсестра ОВОП     Дублер                
  4. Пальтова М.П. Зам.гл. врача по медиц. части        Ответственное лицо
  5. Николаева А.И. Зам.гл.врача по ЭВН            Дублер                
  6. Соболева Л.Н. Врач-педиатр участковый   Ответственное лицо                
  7. Николаева В.Г. Медсестра участковая         Дублер                
  8. Салмина Л.Н. Врач- общей практики        Ответственное лицо                
  9. Иванова А.В. Медсестра ВОП Дублер                 
  10. Андреева В.Г. медсестра      Дублер                
  11. Боровкова М.А. Врач общей практики          Ответственное лицо                
  12. Александрова А.В. Медсестра ВОП        Дублер                
  13. Степанова М.К. Врач общей практики          Ответственное лицо                 
  14. Маркова И.П. Медсестра ВОП        Дублер                
  15. Маширова М.В. Врач общей практики          Ответственное лицо                
  16. Ананьева А.Л Медсестра участковая         Дублер                
  17. Бараматова О.А. Врач общей практики          Ответственное лицо                
  18. Антонова Е.С. Медсестра ВОП        Дублер                
  19. Викторов В.В. Врач общей практики          Ответственное лицо                
  20. Васильева З.Н. Медсестра ВОП        Дублер                
  21. Анисимова Н.Г. Врач общей практики          Ответственное лицо                
  22. Лаврентьева С.А. Медсестра ВОП        Дублер                
  23. Степанова Н.В. Врач общей практики          Ответственное лицо                
  24. Васильева З.Н. Медсестра ВОП        Дублер                
  25. Еремева С.В. Начальник отдела кадров Ответственное лицо                
  26. Леонтьева О.Е. Специалист по кадрам        Дублер                
  27. Карасева И.Е. Специалист по кадрам        Дублер                
  28. Андреева А.В. Зав.дет.отд.поликлиники-врач-педиатр            Ответственное лицо                
  29. Степанова Г.М. Медсестра участковая         Дублер                
  30. Потапова И.А. Врач-педиатр участковый   Ответственное лицо                
  31. Плотникова М.И. Медсестра участковая         Дублер                
  32. Косолапова Н.И. Врач-терапевт участковый  Ответственное лицо                
  33. Константинова И.П. Медсестра участковая Дублер                
  34. Данилова Г.А. Врач общей практики          Ответственное лицо                
  35. Михайлова Л.Г. медсестра      Дублер                 
  36. Захарова Н.Г. Врач общей практики Ответственное лицо                
  37. Иванова А.И. медсестра Дублер                
  38. Русанова Н.И. Врач-педиатр участковый   Ответственное лицо                
  39. Салмина О.Ю. Медсестра участковая         Дублер                
  40. Дуткина Л.М. Врач –педиатр участковый Ответственное лицо                
  41. Арсентьева М.А. Медсестра участковая         Дублер                
  42. Егорова С.В. Врач-педиатр участковый   Ответственное лицо                
  43. Лебедева Т.С. Медсестра участковая         Дублер                
  44. Тихонова А.И. Врач-педиатр участковый   Ответственное лицо                
  45. Константинова Н.В. Медсестра участковая Дублер                
  46. Гурьева Г.Н. Врач общей практики          Ответственное лицо                

                

                                                                                                          Приложение № 2                

                                   к приказу БУ «Цивильская ЦРБ»                 

                                               № 43а от 15.01.2013г.                

                

Список помещений, кабинетов, в которых допускается обработка защищенной информации и

регламент работы ответственных работников                

                

№ п/п Наименование кабинетов   Номера                

кабинетов      График работы                

1          Кабинет ПЭВМ,                 

отв. Семенова Р.И.   306      Понедельник-пятница 8.00-17.00                

Суббота 8.00-12.00                

2          Отдел кадров, отв. Еремеева С.В.  408,.410          Понедельник-пятница 8.00-17.00                

3          Бухгалтерия, отв.Николаева В.В.   409      Понедельник-пятница 8.00-17.00                 

4          Планово-экономический отдел, отв. Прокопьева И.А.   412      Понедельник-пятница 8.00-17.00                

5          Кабинет ВОП отв. Маширова М.В.            308      Понедельник-пятница 8.00-16.42                

Суббота 8.00-12.00                

6          Кабинет участкового терапевта, отв Салмина Л.Н.        310      Понедельник-пятница 8.00-16.42                

Суббота 8.00-12.00                

7          Кабинет ВОП, отв.Бараматова О.А.          312      Понедельник-пятница 8.00-16.42                

Суббота 8.00-12.00                

8          Кабинет ВОП, отв Гурьева Г.Н.     314      Понедельник-пятница 8.00-16.42                

Суббота 8.00-12.00                

9          Кабинет ВОП, отв.Захарова Н.Г.    316      Понедельник-пятница 8.00-16.42                

Суббота 8.00-12.00                

10        Кабинет ВОП, отв.Косолапова Н.И.          202      Понедельник-пятница 8.00-16.42                

Суббота 8.00-12.00                

11        Кабинет ВОП, отв.Данилова Г.А.  206      Понедельник-пятница 8.00-16.42                

Суббота 8.00-12.00                

12        Кабинет педиатра участкового, отв.Русанова Н.И.         217      Понедельник-пятница 8.00-16.42                

Суббота 8.00-12.00                

13        Кабинет педиатра участкового, отв.Тихонова А.Н.        218      Понедельник-пятница 8.00-16.42                

Суббота 8.00-12.00                

14        Кабинет педиатра участкового, отв Со-болева Л.Н.       219      Понедельник-пятница 8.00-16.42                

Суббота 8.00-12.00                

15        Кабинет педиатра участкового, отв.Потапова И.А.        220      Понедельник-пятница 8.00-16.42                

Суббота 8.00-12.00                

16        Кабинет педиатра участкового, отв.Дуткина Л.М.         226      Понедельник-пятница 8.00-16.42                

Суббота 8.00-12.00                

17        ООВП п. Опытный, отв Степанова Н.В.               Понедельник-пятница 8.00-16.42                

Суббота 8.00-12.00                 

18        ООВП п. Конар, отв Анисимова Н.Г.                    Понедельник-пятница 8.00-16.42                

Суббота 8.00-12.00                

19        ООВП д.Мунсют, отв Степанова М.К.                  Понедельник-пятница 8.00-16.42                

Суббота 8.00-12.00                

20        ООВП д.II- Вурманкасы, отв. Маширова М.В.                 Понедельник-пятница 8.00-16.42                

Суббота 8.00-12.00                

21        ООВП д.I-Степаново, отв.Петрова М.Е.               Понедельник-пятница 8.00-15.00                

Суббота 8.00-12.00                

22        ООВП с.Чурачики, отв.Кириллова И.И.               Понедельник-пятница 8.00-15.00                

Суббота 8.00-12.00                

                

                                                                                                                             Приложение № 3                

                                                                                                      к приказу БУ «Цивильская ЦРБ»                  

                                                             № 43а от 15.01.2013г.                

                

Положение об информационной безопасности в БУ «Цивильская ЦРБ»                

                

Раздел I: Правовые, технические и организационные аспекты защиты конфиденциальной инфор-мации                

     Правовой основой организации защиты конфиденциальной информации является Федеральный закон от 27.07.2006г. № 152-ФЗ «О персональных данных», Федеральный закон от 27.07.2006г. № 149-ФЗ «Об информации, информационных технологиях и защите информации», Федеральный закон от 10.01.2002г. № 1-ФЗ «Об электронной цифровой подписи».                

     Во исполнение действующего законодательства в ЦРБ осуществляется практическое внедрение пра-вовых, программно-технических и организационно-экономических методов обеспечения информацион-ной безопасности.                

     К правовым методом обеспечения информационной безопасности относится принятие комплекса нормативных правовых актов, регламентирующих отношения в информационной сфере, и разработка нормативно-методических документов по обеспечению информационной безопасности.                

     Программно-технические методы включают защиту информации от несанкционированного доступа средствами проверки полномочий пользователей и обслуживающего персонала на использование ин-формационных ресурсов; аутентификацию сторон, производящих обмен информацией (подтверждение подлинности  отправителя и получателя); разграничение прав пользователей и обслуживающего персо-нала при доступе к информационным ресурсам, а также при хранении и предоставлении информации с ограниченным доступом; возможность доказательства неправомерности действий пользователей и об-служивающего персонала; защиту информации от случайных разрешений; защиту от внедрения «виру-сов» в программные продукты; защита баз данных различного уровня; выявление технических устройств и программ, представляющих опасность  для нормального функционирования информационно- телеком-муникационных систем; применение криптографических средств защиты информации при ее хранении, обработке и передаче по каналам связи; подтверждение авторства сообщений с использованием элек-тронной цифровой подписи информации.                

     Организационно –экономические методы предусматривают распределение информации по степеням защищенности и по категориям доступа; приобретение и обеспечение функционирования информацион-ных ресурсов в соответствии  с установленными требованиями; организацию работ по защите информа-ции; выполнение положений государственных средств; лицензирование информационной деятельности; страхование информационных рисков; контроль за выполнением требований по защите информации.                

     Основными направлениями создания комплексной системы защиты информации в ЦРБ на начальном этапе являются организационно-режимные меры защиты; защита информации от утечки по каналам по-бочных электромагнитных излучений и наводок; защита от вирусных атак; обеспечение безопасности взаимодействия системы с внешними источниками информации.                

Раздел II: Мероприятия по обеспечению защиты конфиденциальной информации ЦРБ.                

     Мероприятия вышеуказанные проводятся согласно приказу по БУ «Цивильская  ЦРБ» и приложений к данному приказу:                

- Положение об информационной безопасности в БУ «Цивильская ЦРБ»                

- Список лиц и их дублеров, имеющих отношение к обработке подлежащих защите данных, обеспечение сохранности и конфиденциальности информации                

- Список помещений, в которых допускается обработка защищенной информации и регламент работы ответственных работников                

- Перечень информационных систем и их составляющих защите                

- Инструкция о порядке работы пользователей с защищенными данными.                

     Приказом  по ЦРБ также устанавливается персональная ответственность работников, которые непо-средственно имеют отношение к обработке подлежащих защите данных, за обеспечение сохранности и конфиденциальности информации, безопасности работы информационных и телекоммуникационных систем. Каждый работник должен в обязательном порядке подписать Соглашение о неразглашение ин-формации, в том числе персональных данных, с которыми этот специалист работает.                

     Приказом по ЦРБ определяются конкретные помещения, в которых допускается обработка защищен-ной информации и регламент работы ответственных сотрудников, осуществляющих работу с защищен-ными данными.                

      На период отпуска ответственных сотрудников приказом руководителя назначаются их заместите-ли/дублеры. Передача данных между ответственными работниками и их заместителями/дублерами должна оформляется официальным служебным документом, утвержденным  главным врачом.                

Раздел III: Требования к помещениям, в которых осуществляется обработка защищенных данных.                

     Помещения, в которых осуществляется обработка защищенных данных, относятся к категории защи-щаемых. Вход в помещения лиц, не имеющих отношения к работе с персональными данными, должен быть ограничен.                

     Стены, перекрытия, входные двери должны быть прочными и исключать несанкционированное про-никновение в помещение.                

Окна помещений, расположенных на первом и последних этажах, вблизи соседних бланков, пожарных лестниц должны  иметь прочные стальные внешние или внутренние решетки (внутренние решетки долж-ны запираться на замки).                

     Уборка помещения должна производится в присутствии одного из работников данного помещения.                

     Раздел IV: Требования к компьютерам, на которых производится обработка защищенной ин-формации.                

     Компьютеры, на которых производится обработка защищенной информации, закрепляются за ответ-ственными лицами и оборудуются программными и аппаратно-программными средствами защиты от не-санкционированного доступа к информации, антивирусными средствами защиты. На одном компьютере могут работать несколько пользователей, определенных приказом руководителя учреждения, но при этом каждый пользователь работает под своим индивидуальным паролем.                

     Для исключения возможности доступа посторонних лиц к рабочему месту пользователя необходимо каждое рабочее место оборудовать системой E-Token (устройство, защищающее зашифрованную об-ласть данных, доступ к которой невозможен без использования E-Token ). При начале работы необходи-мо использовать пароль для входа длиной не мене 5 символов, состоящих из цифр и букв латинского алфавита.                

      На компьютерах, где осуществляется обработка защищенных данных, запрещено программное или аппаратное использование всех  интерфейсов  ввода-вывода (USB, IEI394, COMI  и т.д.), устройств чте-ния и записи лазерных дисков и магнитных дисков (CD-ROM, DVD-ROM, FDD и т.д.).                

     Корпус системного блока компьютера необходимо опечатать для фиксирования случаев его вскрытия.                

     Для ограничения программного доступа к данным формируется защищенное VPN (virtual private netvork) – соединение для всех участников системы сбора и передачи конфиденциальных данных. Осно-вой для такого соединения служит программный комплекс VipNet с использованием электронной цифро-вой подписи, который обеспечивает безопасную шифрованную передачу данных от клиента к серверу. Для реализации этого направления в 2008 году необходимо:                 

- установить дополнительные клиентские приложения VipNet на компьютеры, участвующие в системе сбора и передачи конфиденциальных данных (от 2 рабочих мест на одно учреждение здравоохранения)                

- организовать  защищенное  VPN – соединение при передаче информации внутри локальных сетей уч-реждения здравоохранения  с использованием сертифицированного программного средства (VipNet).