«Положення про захист персональних даних работніковв ТОГБУЗ« Міська лікарня м Котовська »
1.1. Метою даного Положення є захист персональних даних від несанкціонованого доступу, неправомірного їх використання або втрати.
1.4. Це Положення затверджується і вводиться в дію наказом головного лікаря і є обов'язковим для виконання всіма працівниками, які мають доступ до персональних даних.
2. Поняття і склад персональних даних
2.1. Персональні дані працівника - інформація, необхідна роботодавцю у зв'язку з трудовими відносинами та стосуються конкретного працівника. Під інформацією про працівників розуміються відомості про факти, події і обставини життя працівника, що дозволяють ідентифікувати його особу.
2.2. До складу персональних даних працівника входять:
- анкетні та біографічні дані;
- відомості про трудовий і загальному стажі;
- відомості про склад сім'ї;
- відомості про військовий облік;
- відомості про заробітну плату співробітника;
- місце роботи або навчання членів сім'ї і родичів;
- характер взаємин у родині;
- склад декларованих відомостей про наявність матеріальних цінностей;
- оригінали та копії наказів по особовому складу;
- особисті справи і трудові книжки співробітників;
- підстави до наказів по особовому складу;
- справи, що містять матеріали з підвищення кваліфікації та перепідготовки співробітників, їх атестації, службовим розслідуванням;
- копії звітів, що направляються в органи статистики.
2.3. Дані документи є конфіденційними, хоча, з огляду на їх масовість і єдине місце обробки і зберігання - відповідний гриф обмеження на них не ставиться.
3. Обробка персональних даних
3.1. Під обробкою персональних даних розуміється отримання, зберігання, комбінування, передача або будь-яке інше використання персональних даних працівника.
3.2. З метою забезпечення прав і свобод людини і громадянина роботодавець і його представники при обробці персональних даних зобов'язані дотримуватися такі загальні вимоги:
3.2.1. Обробка персональних даних працівника може здійснюватися виключно в цілях забезпечення дотримання законів та інших нормативних правових актів, сприяння працівникам у працевлаштуванні, навчанні і просуванні по службі, забезпечення особистої безпеки працівників, контролю кількості та якості виконуваної роботи і забезпечення збереження майна.
3.2.2. Обробка персональних даних працівника може здійснюватися виключно в цілях забезпечення дотримання законів та інших нормативних правових актів.
3.2.3. При визначенні обсягу і змісту оброблюваних персональних даних працівника роботодавець повинен керуватися Конституцією Російської Федерації, Трудовим Кодексом та іншими федеральними законами.
3.2.4. Отримання персональних даних про працівника може здійснюватися як шляхом подання їх самим працівником, так і шляхом отримання їх з інших джерел.
3.2.5. Персональні дані слід отримувати у нього самого. Якщо персональні дані працівника, можливо, отримати тільки в третьої сторони, то працівник повинен бути повідомлений про це заздалегідь і від нього має бути отримана письмова згода. Роботодавець повинен повідомити працівника про цілі, передбачуваних джерелах і способи отримання персональних даних, а так само про характер підлягають отриманню персональних даних і наслідки відмови працівника дати письмову згоду на їх отримання.
3.2.6. Роботодавець не має права отримувати та обробляти персональні дані працівника про його політичних, релігійних та інших переконаннях і приватного життя. У випадках, безпосередньо пов'язаних з питаннями трудових відносин дані про приватне життя працівника (інформація про життєдіяльність в сфері сімейних побутових, особистих відносин) можуть бути отримані і оброблені роботодавцем тільки за його письмовою згодою.
3.2.7. Роботодавець не має права отримувати та обробляти персональні дані працівника про його членство в громадських об'єднаннях або його профспілкової діяльності, за винятком випадків, передбачених федеральним законом.
3.3. До обробці, передачі і зберігання персональних даних працівника можуть мати доступ співробітники:
- співробітники служби управління персоналом;
- співробітники відділу кадрів.
3.4. Використання персональних даних можливо тільки відповідно до цілей, визначили їх отримання.
3.5. Передача персональних даних працівника можлива тільки за згодою працівника або у випадках, прямо передбачених законодавством.
3.5.1. При передачі персональних даних працівника роботодавець повинен дотримуватися таких вимог:
- не повідомляти персональні дані працівника третій стороні без письмової згоди працівника, за винятком випадків, коли це необхідно з метою попередження загрози життю і здоров'ю працівника, а також у випадках, встановлених федеральним законом;
- не повідомляти персональні дані працівника в комерційних цілях без його письмової згоди;
- попередити осіб, які отримують персональні дані працівника, про те, що ці дані можуть бути використані лише в цілях, для яких вони повідомлені, і вимагати від цих осіб підтвердження того, що це правило дотримане. Особи, які отримують персональні дані працівника, зобов'язані дотримуватися режиму секретності (конфіденційності).
- дозволяти доступ до персональних даних працівників тільки спеціально уповноваженим особам, визначеним наказом по організації, при цьому зазначені особи повинні мати право отримувати тільки ті персональні дані працівника, які необхідні для виконання конкретних функцій;
3.6. Всі заходи конфіденційності при зборі, обробці та зберіганні персональних даних співробітника поширюються як на паперові, так і на електронні (автоматизовані) носії інформації.
3.8. Зберігання персональних даних має відбуватися в порядку, що виключає їх втрату або їх неправомірне використання.
3.9. При прийнятті рішень, які зачіпають інтереси працівника, роботодавець не має права грунтуватися на персональних даних працівника, отриманих виключно в результаті їх автоматизованої обробки або електронного отримання. Роботодавець враховує особисті якості працівника, його сумлінну та ефективну працю.
4. Доступ до персональних даних
4.1. Внутрішній доступ (доступ всередині організації).
4.1.1. Право доступу до персональних даних працівника мають:
- керівники структурних підрозділів у напрямку діяльності (доступ до особистих даних тільки співробітників свого підрозділу);
- при перекладі з одного структурного підрозділу в інший, доступ до персональних даних співробітника може мати керівник нового підрозділу;
- сам працівник, носій даних.
- інші співробітники організації при виконанні ними своїх службових обов'язків.
4.1.2. Перелік осіб, які мають доступ до персональних даних працівників, визначається наказом головного лікаря.
4.2. Зовнішній доступ.
4.2.1. До числа масових споживачів персональних даних поза організації можна віднести державні та недержавні функціональні структури:
- підрозділи муніципальних органів управління;
4.2.2. Наглядово-контрольні органи мають доступ до інформації тільки в сфері своєї компетенції.
4.2.3. Організації, в які співробітник може здійснювати перерахування коштів (страхові компанії, недержавні пенсійні фонди, благодійні організації, кредитні установи), можуть отримати доступ до персональних даних працівника тільки в разі його письмового дозволу.
5. Захист персональних даних
5.1. Захист персональних даних є жорстко регламентований і динамічно технологічний процес, який попереджає порушення доступності, цілісності, достовірності та конфіденційності персональних даних і, в кінцевому рахунку, що забезпечує досить надійну безпеку інформації в процесі управлінської та виробничої діяльності компанії.
5.2. Захист персональних даних працівника від неправомірного їх використання або втрати повинна бути забезпечена роботодавцем за рахунок його коштів в порядку, встановленому федеральним законом.
5.3. «Внутрішня безпека».
5.3.1. Основним винуватцем несанкціонованого доступу до персональних даних є, як правило, персонал, що працює з документами і базами даних. Регламентація доступу персоналу до конфіденційної інформації, документам і базам даних входить в число основних напрямків організаційної захисту інформації і призначена для розмежування повноважень між керівниками та спеціалістами організації.
5.3.2. Для забезпечення внутрішнього захисту персональних даних працівників необхідно дотримуватися ряду заходів:
- обмеження і регламентація складу працівників, функціональні обов'язки яких вимагають конфіденційних знань;
- суворе виборче і обгрунтований розподіл документів і інформації між працівниками;
- раціональне розміщення робочих місць працівників, при якому виключалося б безконтрольне використання інформації, що захищається;
- знання працівником вимог нормативно - методичних документів щодо захисту інформації та збереження таємниці;
- наявність необхідних умов в приміщенні для роботи з конфіденційними документами і базами даних;
- визначення та регламентація складу працівників, які мають право доступу (входу) в приміщення, в якому знаходиться обчислювальна техніка;
- організація порядку знищення інформації;
- своєчасне виявлення порушення вимог дозвільної системи доступу працівниками підрозділу;
- виховна та роз'яснювальна робота з співробітниками підрозділу по попередженню втрати цінних відомостей при роботі з конфіденційними документами;
5.3.3. Захист персональних даних співробітника на електронних носіях.
Все папки, що містять персональні дані співробітника, повинні бути захищені паролем, який повідомляється керівнику служби інформаційних технологій.
5.4. «Зовнішня захист».
5.4.1. Під сторонньою особою розуміється будь-яка особа, що не має безпосереднього відношення до діяльності організації, відвідувачі. Сторонні особи не повинні знати розподіл функцій, робочі процеси, технологію складання, оформлення, ведення і зберігання документів, справ і робочих матеріалів.
5.4.2. Для забезпечення зовнішньої захисту персональних даних співробітників необхідно дотримуватися ряду заходів:
- порядок прийому, обліку і контролю діяльності відвідувачів;
- технічні засоби охорони, сигналізації;
5.5. Всі особи, пов'язані з отриманням, обробкою та захистом персональних даних, зобов'язані підписати зобов'язання про нерозголошення персональних даних
6. Права та обов'язки працівника
6.1. Закріплення прав працівника, що регламентують захист його персональних даних, забезпечує збереження повної і точної інформації про нього.
6.2. З метою захисту персональних даних, що зберігаються у роботодавця, працівник має право:
- вимагати виключення або виправлення невірних або неповних персональних даних.
- на вільний безкоштовний доступ до своїх персональних даних, включаючи право на отримання копій будь-якого запису, що містить персональні дані;
- персональні дані оцінного характеру доповнити заявою, що виражає його власну точку зору;
- визначати своїх представників для захисту своїх персональних даних;
- на збереження і захист своєї особистої і сімейної таємниці.
6.3. Працівник зобов'язаний:
- передавати роботодавцю або його представнику комплекс достовірних, документованих персональних даних, склад яких встановлено Трудовим кодексом РФ.
- своєчасно повідомляти роботодавця про зміну своїх персональних даних
6.4. Працівники ставлять роботодавця до відома про зміну прізвища, імені, по батькові, дати народження, що отримує відображення в трудовій книжці на підставі поданих документів. При необхідності змінюються дані про освіту, професії, спеціальності, присвоєння нового розряду тощо.
6.5. З метою захисту приватного життя, особистої і сімейної таємниці працівники не повинні відмовлятися від свого права на обробку персональних даних лише за їх згодою, оскільки це може спричинити заподіяння моральної, матеріальної шкоди.
7. Відповідальність за розголошення конфіденційної інформації,
пов'язаної з персональними даними
7.1. Персональна відповідальність - одна з головних вимог до організації функціонування системи захисту персональної інформації та обов'язкова умова забезпечення ефективності цієї системи.
7.2. Юридичні та фізичні особи, відповідно до своїх повноважень володіють інформацією про громадян, які отримують і використовують її, несуть відповідальність відповідно до законодавства Російської Федерації за порушення режиму захисту, обробки та порядку використання цієї інформації.
7.3. Керівник, який дозволяє доступ співробітника до конфіденційного документу, несе персональну відповідальність за даний дозвіл.
7.4. Кожен співробітник організації, який одержує для роботи конфіденційний документ, несе одноосібну відповідальність за збереження носія і конфіденційність інформації.
7.5. Особи, винні в порушенні норм, що регулюють отримання, обробку та захист персональних даних працівника, несуть дисциплінарну, адміністративну, цивільно-правову або кримінальну відповідальність відповідно до федеральними законами.
7.5.1. За невиконання або неналежне виконання працівником з його вини покладених на нього обов'язків щодо дотримання встановленого порядку роботи з відомостями конфіденційного характеру роботодавець має право застосовувати передбачені Трудовим Кодексом дисциплінарні стягнення.
7.5.2. Посадові особи, в обов'язок яких входить ведення персональних даних співробітника, зобов'язані забезпечити кожному можливість ознайомлення з документами і матеріалами, що безпосередньо зачіпають його права і свободи, якщо інше не передбачено законом. Неправомірна відмова в наданні зібраних у встановленому порядку документів, або несвоєчасне надання таких документів або іншої інформації у випадках, передбачених законом, або надання неповної або завідомо неправдивої інформації - тягне за собою накладення на посадових осіб штрафу в розмірі, який визначається Кодексом про адміністративні правопорушення.
7.5.3. Відповідно до Цивільного Кодексу особи, незаконними методами отримали інформацію, що становить службову таємницю, зобов'язані відшкодувати завдані збитки, причому така ж обов'язок покладається і на працівників.
7.5.4. Кримінальна відповідальність за порушення недоторканності приватного життя (в тому числі незаконне збирання або розповсюдження відомостей про приватне життя особи, що становить його особисту або сімейну таємницю, без його згоди), неправомірний доступ до охоронюваної законом комп'ютерної інформації, неправомірну відмову в наданні зібраних у встановленому порядку документів і відомостей (якщо ці діяння заподіяли шкоду правам і законним інтересам громадян), вчинені особою з використанням свого службового становища карається штрафом, л бо позбавленням права обіймати певні посади або займатися певною діяльністю, або арештом відповідно до КК РФ.