Цветовая схема: C C C C
Размер шрифтов: A A A
Изображения

ГУП "Башфармация"

Положение об обработке персональных данных

при эксплуатации функциональной компоненты «Аптека» Республиканской медицинской информационно-аналитической системы Республики Башкортостан


Общие положения


Положение об обработке персональных данных в ГУП «Башфармация» РБ (далее – Положение) определяет цели, содержание и порядок обработки персональных данных, меры, направленные на защиту персональных данных, а также процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в области персональных данных. Основной целью настоящего Положения является защита прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Настоящее Положение определяет политику ГУП «Башфармация» РБ (далее – Оператор) в отношении обработки персональных данных.

Настоящее Положение разработано в соответствии с нормативными правовыми актами Российской Федерации:  


1) Конституция Российской Федерации.

2) Федеральный Закон от 27.07.2006 г. № 152-ФЗ «О персональных данных».

3) Федеральный Закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

4)  Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».

5)  «Гражданский кодекс Российской Федерации (часть первая)» от 30.11.1994 № 51-ФЗ.

6) «Трудовой кодекс Российской Федерации» от 30.12.2001 № 197-ФЗ.

7) Указ Президента РФ от 06.03.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера».

8) Постановление Правительства Российской Федерации от 15.09.2008г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

9) Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».  

Обработка персональных данных (далее – ПДн) осуществляется с соблюдением принципов и условий, предусмотренных настоящим Положением и законодательством Российской Федерации в области персональных данных.

Все работники Оператора, допущенные к обработке ПДн, должны быть ознакомлены с настоящим Положением под роспись.



Субъекты и состав персональных данных, обрабатываемых Оператором



Субъектами персональных данных, обработка которых осуществляется Оператором, являются:


Обработка ПДн лиц, которым производится отпуск лекарственных средств, осуществляется в соответствии с условиями Государственных контрактов


 

Права и обязанности Оператора при обработке персональных данных


Оператор обязан:

1.1 По запросу субъекта персональных данных сообщить субъекту персональных данных или его законному представителю информацию о наличии ПДн, относящихся к соответствующему субъекту персональных данных (форма ответа приведена в Форме 1).

1.2 Безвозмездно предоставить возможность ознакомления с ПДн субъекта персональных данных или его законного представителя в течение 30 дней с даты получения запроса.

1.3 В случае отказа в предоставлении субъекту персональных данных информации о наличии ПДн о соответствующем субъекте персональных данных, дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 8 статьи 14 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», в срок, не превышающий 30 дней со дня обращения субъекта или получения запроса.

1.4 Внести изменения, уничтожить или блокировать соответствующие ПДн в срок, не превышающий семи рабочих дней со дня предоставления субъектом персональных данных или его законным представителем сведений, подтверждающих, что ПДн являются неполными, устаревшими, недостоверными. О внесенных изменениях и предпринятых мерах необходимо уведомить субъекта персональных данных и третьих лиц, которым ПДн этого субъекта были переданы (форма уведомления приведена в Форме 2).

1.5 В случае достижения цели обработки ПДн прекратить обработку ПДн и уничтожить соответствующие ПДн в сроки, предусмотренные нормативными правовыми актами.

1.6 Осуществлять обработку ПДн субъекта с письменного согласия субъекта персональных данных (форма согласия приведена в Форме 3) в случаях:

  • включения ПДн субъекта персональных данных в общедоступные источники ПДн (в том числе справочники, адресные книги);

  • обработки специальных категорий ПДн, за исключением случаев, предусмотренных п. 2-10 части 2 статьи 10 Федерального закона от 27.07.2006 г. № 152-ФЗ « О персональных данных»;

  • обработки биометрических ПДн за исключением случаев, предусмотренных частью 2 статьи 11 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных»;

  • трансграничной передачи ПДн на территории иностранных государств, не обеспечивающих адекватной защиты прав субъектов персональных данных;

  • принятия на основании исключительно автоматизированной обработки ПДн решений, порождающих юридические последствия в отношении субъекта персональных данных.

  • Оператор вправе продолжить обработку ПДн без согласия субъекта ПДн в случаях:

    1)        обработка ПДн необходима для достижения целей, предусмотренных законом, для осуществления и выполнения возложенных законодательством Российской Федерации на Оператора функций, полномочий и обязанностей;


    2)        обработка ПДн необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии законодательством Российской Федерации об исполнительном производстве (далее - исполнение судебного акта);


    3)        обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, в том числе в случае реализации оператором своего права на уступку прав (требований) по такому договору, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;


    4)        обработка ПДн необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;


    5)        обработка ПДн необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;


    6)        обработка ПДн необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных;


    7)        обработка ПДн осуществляется в статистических или иных исследовательских целях, при условии обязательного обезличивания ПДн;


    8)        осуществляется обработка ПДн, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее - персональные данные, сделанные общедоступными субъектом персональных данных);


    9)        осуществляется обработка ПДн, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;


    10)    обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;


    11)    обработка ПДн осуществляется в соответствии с Федеральным законом от 25.01.2002 г. № 8-ФЗ «О Всероссийской переписи населения»;


    12)    обработка ПДн осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;


    13)    обработка ПДн осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;


    14)    обработка ПДн членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что ПДн не будут распространяться без согласия в письменной форме субъектов персональных данных;


    15)    обработка ПДн осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;


    16)    обработка ПДн осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;


    17)    обработка ПДн осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан;


    18)    обработка ПДн осуществляется в соответствии с законодательством Российской Федерации о гражданстве Российской Федерации.


    1.8 В случае отзыва субъектом ПДн согласия на обработку своих персональных данных прекратить обработку персональных данных и уничтожить персональные данные в сроки, предусмотренные нормативными правовыми актами.

    1.9 Сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.


     

    Права и обязанности субъектов персональных данных  

    Субъекты персональных данных имеют право:

    1. Получать информацию о своих ПДн.

      Примечание: Форма направляемого Оператору запроса об обрабатываемых ПДн (запроса о наличии ПДн, на ознакомление с ПДн) представлена в Форме 4. Сведения предоставляются субъекту персональных данных или его представителю Оператором при обращении либо при получениизапросасубъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии сзаконодательствомРоссийской Федерации.

    2. Требовать исключения или исправления неверных или неполных персональных данных.

      Примечание: Форма направляемого Оператору запроса об исключении из обработки или исправлении неверных персональных данных представлена в Форме 5.

    3. Отозвать согласие на обработку ПДн.

      Примечание: Форма отзыва согласия на обработку ПДн приведена в Форме 6.

    4. Требовать извещения всех лиц, которым ранее были сообщены неверные или неполные ПДн, обо всех произведенных исключениях, исправлениях или дополнениях в указанных сведениях.

    5. Обжаловать в суде любые неправомерные действия или бездействие Оператора при обработке и защите его персональных данных.

    Субъекты ПДн обязаны:

    1. Известить об изменении своих персональных данных в письменном виде, в соответствии с установленной формой уведомления (Форма 7).  


     

     

    Порядок сбора и обработки персональных данных

    1. Оператор осуществляет обработку следующих ПДн лиц, которым производится отпуск лекарственных средств, специализированных продуктов питания:


    1) фамилия, имя, отчество (последнее - при наличии);

    2) пол;

    3) дата рождения;

    4) место рождения;

    5) гражданство;

    6) данные документа, удостоверяющего личность;

    7) место жительства;

    8) место регистрации;

    9) дата регистрации;

    10) страховой номер индивидуального лицевого счета (при наличии), принятый в соответствии с законодательством Российской Федерации об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования;

    11) номер полиса обязательного медицинского страхования застрахованного лица (при наличии);

    12) диагноз;

    13) сведения об организации, оказавшей медицинские услуги;

    14) сведения о назначении лекарственных средств;

    15) сведения о медицинском работнике или медицинских работниках, оказавших медицинскую услугу.


    Персональные данные лиц, которым произведен отпуск лекарственных средств хранятся в течение срока, установленного законодательством РФ.


    Доступ к персональным данным   

    Предоставление доступа к ПДн работникам Оператора.

    1. Доступ к персональным данным, подлежащим обработке с использованием и/или без использования средств автоматизации, разрешен только уполномоченным работникам в соответствии с «Перечень структурных подразделений, должностные лица которых, допущены к работе с персональными данными при эксплуатации функциональной компоненты «Аптека» Республиканской медицинской информационно-аналитической системы Республики Башкортостан». Приэтом указанным лицам предоставляется доступ только к персональным данным, необходимым для выполнения служебных обязанностей.

    2. Изменение «Перечня структурных подразделений, должностные лица которых, допущены к работе с персональными данными при эксплуатации функциональной компоненты «Аптека» Республиканской медицинской информационно-аналитической системы Республики Башкортостан» утверждается Приказом руководителя Оператора.

    3. Работники Оператора, получившие доступ к ПДн, принимают обязательства по обеспечению конфиденциальности обрабатываемых персональных данных, которые определены Распиской (Форма 11).

    4. Для каждого должностного лица Оператора устанавливаются допуск к категориям ПДн в зависимости от субъектов персональных данных, способы обработки ПДн и уровень полномочий при обработке ПДн.

    Предоставление доступа к ПДн органам государственным власти.

    1. Доступ к ПДн, обрабатываемым Оператором, на основании и во исполнение нормативных правовых актов, предоставляется:

      2. Обязательный доступ к ПДн предоставляется в следующих случаях, предусмотренных федеральными законами:

          • в целях предупреждения угрозы жизни и здоровью субъекта персональных данных;

          • в целях защиты основ конституционного строя, нравственности, прав и законных интересов других лиц;

          • в целях обеспечения обороны страны и безопасности государства при поступлении мотивированных запросов. Мотивированное требование должно быть подписано уполномоченным должностным лицом, содержать указание цели и правового основания затребования информации, срок предоставления этой информации, если иное не установлено федеральными законами.

    Предоставление доступа к ПДн третьим лицам:

    1. Организации для получения доступа к ПДн субъектов обязаны предоставить в письменной форме мотивированный запрос (Форма 9), подписанный руководителем организации и заверенный печатью и/или личной подписью.

    2. В случае отказа в предоставлении третьим лицам доступа к ПДн субъекта персональных данных Оператор направляет мотивированный ответ в письменной форме, содержащий ссылку на положение ч. 8 ст. 14 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа. Форма ответа на запрос третьих лиц на доступ к обрабатываемым ПДн приведена в Форме 10.

    3. Обращения (запросы) на предоставление доступа к обрабатываемым ПДн с отметкой о предоставлении информации по запросу или отказе в предоставлении информации по запросу фиксируется в соответствующем Журнале учета обращений субъектов персональных данных (Форма 8).

    4. Персональные данные субъектов персональных данных могут быть представлены третьим лицам только с согласия субъектов персональных данных, если иное не установлено федеральным законом.


    Взаимодействие с регулирующими органами

    Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по запросу этого органа необходимую информацию в течение тридцати дней с даты получения такого запроса.

    В случае проведения проверок Федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций за соответствием обработки ПДн требованиям законодательства РФ в области ПДн сведения о результатах проверки вносятся в журнал учета проверок.


    Ответственность


    Лица, виновные в нарушении требований Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», несут предусмотренную законодательством Российской Федерации ответственность.

    Лица, виновные в нарушении положений законодательства Российской Федерации в области ПДн при обработке ПДн работника, привлекаются к дисциплинарной и материальной ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.


     

    Лицо, ответственное за организацию обработки персональных данных


    Оператором назначается лицо, ответственное за организацию обработки ПДн.

    Ответственный за обработку ПДн в своей работе руководствуется законодательством Российской Федерации в области ПДн и настоящим Положением.

    Ответственный за обработку ПДн обязан:

    В случае нарушения требований к защите ПДн, принимать необходимые меры по восстановлению нарушенных прав субъектов персональных данных.

    Ответственный за обработку ПДн вправе:

    Ответственный за обработку ПДн несет ответственность за надлежащее выполнение возложенных функций по организации обработки Пдн в соответствии с положениями законодательства Российской Федерации в области ПДн.