Положение о защите персональных данных

УТВЕРЖДАЮ
Генеральный директор
ООО Стоматологический Центр «Жемчуг»

___________ А.К. Цветков
« 30 » декабря 2009 г.

ПОЛОЖЕНИЕ О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящим Положением определяется порядок:
обеспечения защиты прав работников и пациентов ООО Стоматологический Центр «Жемчуг» при обработке их персональных данных (ПД);
обработки и защиты ПД при ведении личных дел работников и медицинских карт стоматологических больных на пациентов (форма №043/у);
неавтоматизированной обработки ПД с использованием персональных компьютеров;
определения прав и обязанностей работников (пациентов) и Работодателя организации в области обработки ПД.

1.2. Положение разработано на основе руководящих документов:
Федеральный закон от 27 июля 2006 г. №152-ФЗ «О персональных данных»;
Постановление Правительства РФ от 15.09.2008 №687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средства автоматизации»;
Постановление Правительства РФ от 17.11.2007 №687 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
Федеральный закон от 27.06.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
Трудовой кодекс Российской Федерации;
Кодекс Российской Федерации об административных нарушениях;
Федеральный закон «О бухгалтерском учете» от 21.11.1996 №129-ФЗ;
Приказ Минздрава СССР от 04.10.1980 №1030 «Об утверждении форм первичной медицинской документации учреждений здравоохранения»;
Письмо Рособразования от 29.06.2009 №17-110 «Об обеспечении защиты персональных данных» (приложение к письму: «Информация об основных нормативно-методических документах и требованиях по организации защиты персональных данных»).

1.3. Персональные данные – это информация, необходимая работодателю в связи с трудовыми отношениями и касающаяся конкретного работника, а именно сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность и содержащиеся в личном деле (либо подлежащие включению в личное дело) работника в соответствии с настоящим Положением или информация о Пациенте, необходимая для заключения с ним договора на оказание платных стоматологических услуг, заполнения медицинской карты и с целью оказания услуг по договору, стороной которого Пациент является.

1.4. Конфиденциальность персональных данных – обязательное для соблюдения оператором или лицом, получившим доступ к ПД, требование не допускать их распространение без согласия субъекта ПД или наличия иного законного основания.

1.5. Под обработкой ПД понимается сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение и любое другое использование ПД.

1.6. Согласно п.5 ч.1 ст.6 Федерального закона №152-ФЗ допускается отсутствие согласия на обработку ПД в случаях, когда такая обработка необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
Соискатель при приеме на работу дает добровольное письменное согласие на обработку своих ПД под личную подпись.

1.7. От Заказчика при заключении с ним договора на оказание стоматологических услуг согласно ст.ст. 6 и 10 закона №152-ФЗ получение письменного согласия на обработку общедоступных (имя, отчество, фамилия, пол, дата рождения, данные удостоверяющего личность документа, адрес регистрации и телефон для связи) и специальных ПД о здоровье Потребителя услуг не требуется, если обработка осуществляется только в его интересах и только в рамках заключенного с ним и по его инициативе договора на оказание стоматологических услуг.

1.8. Работодатель (Генеральный директор) отвечает за защиту ПД, имеющихся в организации, от неправомерного их использования или утраты.

1.9. Лицом, ответственным за организацию обработки и защиты ПД Пациентов в ООО Стоматологический Центр «Жемчуг» является администратор Алешина П.С.
Лицом, ответственным за непосредственное получение, обработку, хранение, передачу, любое другое использование и соблюдение режима защиты ПД работников организации, является исполняющая обязанности специалиста по кадрам бухгалтер Маклашина Л.А.

1.10. Настоящее Положение и изменения к нему утверждаются Генеральным директором и вводятся приказом по организации. Все работники ООО Стоматологический центр «Жемчуг» ознакамливаются с Положением (изменениями к нему) под личную подпись.
1.11. Неисполнение требований Положения может повлечь дисциплинарную или административную ответственность.

2. ПОЛУЧЕНИЕ И ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. При получении, обработке, хранении и передаче ПД работника специалист по кадрам обязан соблюдать следующие требования:
обработка персональных данных работника осуществляется в целях обеспечения соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации, содействия работнику в осуществлении трудовой деятельности, в обучении и должностном росте, обеспечения личной безопасности работника и членов его семьи, а также в целях обеспечения сохранности принадлежащего ему имущества и имущества организации, учета результатов исполнения им должностных обязанностей;
ПД следует получать лично у работника. В случае возникновения необходимости получения ПД работника у третьей стороны следует известить об этом работника заранее, получить его письменное согласие и сообщить работнику о целях, предполагаемых источниках и способах получения ПД;
при определении объема и содержания обрабатываемых ПД работника работодатель должен руководствоваться ст.65 Трудового кодекса РФ.
Лицо, поступающее на работу предъявляет специалисту по кадрам следующие документы:
паспорт или иной документ, удостоверяющий личность;
трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства;
страховое свидетельство государственного пенсионного страхования;
документы воинского учета – для военнообязанных и лиц, подлежащих призыву на военную службу;
документ об образовании, о квалификации или наличии специальных знаний или специальной подготовки.
В отдельных случаях может предусматриваться необходимость предъявления дополнительных документов;
запрещается получать, обрабатывать и приобщать к личному делу работника данные о его политических, религиозных и иных убеждениях, частной жизни, членстве в общественных объединениях, в том числе в профессиональных союзах.

2.2. В целях обеспечения защиты ПД, хранящихся у работодателя, работники имеют право:
получать полную информацию о своих ПД, их обработке, использовании и хранении;
осуществлять свободный бесплатный доступ к своим ПД, включая право получать копии любой записи, содержащей ПД работника, за исключением случаев, предусмотренных федеральным законом;
требовать исключения или исправления неверных или неполных ПД, а также данных, обработанных с нарушением Федерального закона. Работник при отказе работодателя или уполномоченного им лица исключить или исправить ПД работника имеет право заявить в письменной форме работодателю или уполномоченному им лицу о своем несогласии, обосновав соответствующим образом такое несогласие. ПД оценочного характера работник имеет право дополнить заявлением, выражающим его собственную точку зрения;
требовать от работодателя или уполномоченного им лица уведомления всех лиц, которым ранее были сообщены неверные или неполные ПД работника, обо всех произведенных в них изменениях или исключениях из них;
обжаловать в суд любые неправомерные действия или бездействие работодателя или уполномоченного им лица при обработке и защите ПД работника.

2.3. Работодатель или уполномоченное им лицо вправе подвергать обработке (в том числе, с использованием персональных компьютеров) ПД работников при формировании кадрового резерва.

2.4. Работник предоставляет работодателю достоверные сведения о себе. Работодатель проверяет достоверность сведений, сверяя данные, предоставленные работником, с имеющимися у работника документами.

2.5. При изменении ПД работник письменно уведомляет специалиста по кадрам о таких изменениях в срок, не превышающий 14 календарных дней.

2.6. По мере необходимости работодатель истребует у работника дополнительные сведения. Работник представляет необходимые сведения и, при необходимости, предъявляет документы, подтверждающие достоверность этих сведений.

2.7. Документы, содержащие ПД работника, хранятся в помещении бухгалтерии ООО Стоматологический Центр «Жемчуг» в металлическом шкафу. Помещение бухгалтерии закрывается на ключ, дверь оборудована кодовым замком. Все помещения Стоматологического Центра находится под видеонаблюдением и круглосуточной охраной.

2.8. Пациент, обратившийся за платной стоматологической помощью, предоставляет следующие ПД: фамилия, имя, отчество, дата рождения, данные документа, удостоверяющего личность, адрес регистрации, телефон и др., необходимые для заключения договора на оказание стоматологических услуг, оформления медицинской карты стоматологического больного и связи с пациентом в процессе исполнения обязательств по договору.

2.9. Медицинские документы, содержащие ПД пациента, хранятся в специально оборудованных шкафах в регистратуре. Помещение регистратуры находится под круглосуточным видеонаблюдением и охраной. В случае отказа пациента от оказания ему стоматологических услуг, медицинская документация хранится в архиве ООО «Жемчуг».

2.10. ПД работников (пациентов) могут храниться в электронном виде в информационной системе на локальной компьютерной сети Работодателя. Доступ к электронной базе данных, содержащей ПД для неавтоматизированной обработки, обеспечивается системой паролей.

2.11. Согласие работника (Пациента) на обработку ПД не требуется, если обработка осуществляется в целях исполнения договора, одной из сторон которой является сам субъект ПД.

2.12. Информация, содержащаяся в медицинских документах пациентов (факт обращения за медицинской помощью, информация о состоянии здоровья гражданина и поставленном диагнозе, иные сведения, полученные при обследовании и лечении), составляет врачебную тайну и может предоставляться только в соответствии со ст.61 «Основ законодательства РФ об охране здоровья граждан» или по прямому указанию Пациента.

3. ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. В личное дело и в личную карточку работника вносятся его ПД и иные сведения, связанные с поступлением на работу, осуществлением трудовой деятельности и увольнением и необходимые для обеспечения деятельности организации.

3.2. Личное дело работника ведется специалистом по кадрам на руководителей и специалистов ООО Стоматологический Центр «Жемчуг».

3.3. ПД, внесенные в личные дела и личные карточки работников, относятся к сведениям конфиденциального характера.

3.4. К личному делу работника приобщаются:
письменное заявление с просьбой о поступлении на работу, перемещении и увольнении с работы;
контрольный лист инструктажей поступающего на работу;
копия паспорта;
копии документов воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу);
копии документов о профессиональном образовании, профессиональной переподготовке, повышении квалификации, стажировке, присвоении ученой степени, ученого звания;
копия приказа о приеме на работу;
экземпляр трудового договора, а также экземпляры письменных дополнительных соглашений, которыми оформляются изменения и дополнения, внесенные в трудовой договор;
копии приказов о переводе работника на иную должность;
копия приказов об увольнении работника, о прекращении трудового договора;
аттестационный лист работника, прошедшего аттестацию, и отзыв об исполнении им должностных обязанностей за аттестационный период;
копии приказов о поощрении работника;
копии приказов о наложении дисциплинарного взыскания на работника;
копии приказов о снятия или отмены дисциплинарного взыскания;
копии приказов об отстранении работника от занимаемой должности;
копия страхового свидетельства обязательного пенсионного страхования;
копия свидетельства о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации (если такое имеется).
К личному делу работника приобщаются иные документы, предусмотренные федеральными законами и иными нормативными правовыми актами Российской Федерации.

3.5. Документы, приобщенные к личному делу работника, брошюруются, страницы нумеруются, к личному делу прилагается опись.

3.6. В обязанности кадровой службы, осуществляющей ведение личных дел работников, входит:
приобщение документов к личным делам работников;
обеспечение сохранности личных дел;
обеспечение конфиденциальности сведений, содержащихся в личных делах работников, в соответствии с федеральными законами, иными нормативными правовыми актами Российской Федерации, а также в соответствии с настоящим Положением;
ознакомление работника с документами своего личного дела по его просьбе и во всех иных случаях, предусмотренных законодательством Российской Федерации.

3.7. Личные дела работников, уволенных из организации, хранятся в архиве ООО Стоматологический Центр «Жемчуг» в течение 75 лет со дня увольнения работника.

3.8. Основным медицинским документом Пациента является медицинская карта стоматологического больного учетной формы №043/у. Медицинская карта должна находиться в регистратуре Стоматологического Центра и передаваться врачу-стоматологу при обращении пациента на прием.

3.9. Медицинская карта стоматологического больного как юридический документ хранится в регистратуре 5 лет со дня последнего обращения, затем сдается в государственный архив, где хранится 75 лет. Хранение медицинских карт должно исключать возможность нарушения конфиденциальности и незаконного доступа к ним.

3.10. Если пациент изымает свою медицинскую карту несмотря на возражения врача-стоматолога, медсестры или медрегистратора, на основании докладной записки с подробным описанием обстоятельств руководитель назначает комиссию, и факт изъятия медкарты фиксируется актом, предъявляемым в случае обстоятельств п.5.10.

4. ИСПОЛЬЗОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. ПД работника используются для целей, связанных с выполнением работником трудовых функций.

4.2. Работодатель использует ПД для решения вопросов продвижения работника по службе, очередности предоставления ежегодного отпуска, установления размера заработной платы. На основании ПД работника решается вопрос о допуске работника к информации, составляющей служебную или коммерческую тайну.

4.3. При принятии решений, затрагивающих интересы работника, работодатель не имеет права основываться на ПД работника, полученных исключительно в результате их автоматизированной обработки или в электронном виде. Работодатель также не вправе принимать решения, затрагивающие интересы работника, основываясь на данных, допускающих двоякое толкование. Если на основании ПД работника невозможно достоверно установить какой-либо факт, работодатель предлагает работнику представить письменные разъяснения.

5. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Информация, относящаяся к ПД работника, может быть предоставлена государственным органам в порядке, установленном Федеральным законом. Работодатель имеет право предоставлять в государственные и муниципальные органы те ПД работников, которые необходимы для выполнения отчетов и решения уставных задач.

5.2. Работодатель не вправе предоставлять ПД работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.
Получателями персональных данных работника на законном основании являются:
Фонд социального страхования Российской Федерации;
Пенсионный фонд Российской Федерации;
налоговые органы;
Федеральная инспекция труда;
органы государственного надзора и контроля за соблюдением законодательства о труде;
органы исполнительной власти, профессиональные союзы, участвующие в расследовании несчастных случаев на производстве.

5.3. В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом на получение ПД работника, либо отсутствует письменное согласие работника на предоставление его ПД, работодатель обязан отказать в предоставлении ПД. Лицу, обратившемуся с запросом, выдается письменное уведомление об отказе в предоставлении ПД.

5.4. Разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретных функций.

5.5. Предупредить лиц, получающих ПД работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие ПД работника, обязаны соблюдать режим секретности (конфиденциальности).

5.6. Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовых функций.

5.7. Работодатель обеспечивает учет выданных ПД работников с регистрацией запросов, сведений о лице, направившем запрос, датой передачи персональных данных или датой уведомления об отказе в предоставлении персональных данных, а также с отметкой, какая именно информация была передана.

5.8. Ответ на запрос органов государственной власти, контрольных и надзорных органов о предоставлении ПД работника оформляется работниками отдела кадров письмом (при необходимости – с приложением копий запрошенных документов). Содержание письма (включая любые приложения к нему) является конфиденциальным.

5.9. Хранение медицинской документации на дому, передача ее в другие лечебные учреждения или третьим лицам запрещается, кроме специально оговоренных случаев.

5.10. Выдача медицинской карты на руки не предусмотрена. При обращении пациента ему выдается выписка в объеме заявленных требований или копия медкарты, заверенная при необходимости.
Подлинный документ выдается только по письменному запросу органов дознания, следствия, прокуратуры или суда. В этом случае каждая заполненная страница карты заверяется личной печатью и подписью врача, который проводил лечение.

5.11. Выдача копий документов, содержащих ПД работников (пациентов), осуществляется в соответствии со ст.62 ТК РФ уполномоченными лицами, имеющими доступ к ПД работников/пациентов. Право заверять, снимать копии с документов работников, делать выписки из них могут только сотрудники бухгалтерии, отвечающие за работу с кадрами в рамках своих должностных обязанностей. Право заверять копии медицинской документации пациентов, делать выписки из них имеет Главный врач (заместитель Генерального директора по медицинской части).

6. ГАРАНТИИ КОНФИДЕНЦИАЛЬНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ

6.1. Информация о ПД является служебной тайной и охраняется законом.

6.2. Защита ПД работника от неправомерного их использования или утраты обеспечивается за счет средств организации в порядке, установленном федеральными законами.

6.3. Работник вправе требовать полную информацию о своих ПД, их обработке, использовании и хранении.

6.4. Доступ к ПД работника имеют: Генеральный директор, заместитель Генерального директора, главный врач, главный бухгалтер, непосредственный руководитель работника, специалист по кадрам – только к тем данным, которые необходимы для выполнения их должностных функций. Доступ других специалистов к ПД при необходимости осуществляется на основании письменного разрешения Генерального директора или его заместителя.

6.5. Копировать и делать выписки ПД работника разрешается исключительно в служебных целях с согласия и в присутствии специалиста по кадрам.

6.6. Доступ к ПД Пациента имеют: Генеральный директор, заместитель Генерального директора, главный врач, лечащий врач-стоматолог, администратор, медицинский регистратор – в объеме, необходимом для исполнения своих должностных обязанностей и оказания пациенту стоматологических услуг.

6.7. Сведения о работающем или уже уволенном сотруднике могут быть предоставлены другой организации только с ее письменного запроса на бланке организации с приложением копии заявления об этом самого работника.

6.8. ПД сотрудника могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого сотрудника. В случае развода бывшая супруга (супруг) имеет право обратиться в организацию с письменным запросом о размере заработной платы сотрудника без его согласия (ТК РФ).

6.9. Лица, виновные в нарушении норм, регулирующих порядок обработки и защиты персональных данных, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с законодательством Российской Федерации.

Администратор П.С. Алешина