Обробка та захист персональних даних працівників і пацієнтів

Обробка та захист персональних даних працівників і пацієнтів комунального некомерційного підприємства «Центр первинної медико-санітарної допомоги №2» Сумської міської ради (надалі – Підприємство) здійснюється згідно вимог Закону України «Про захист персональних даних».

Виділено дві бази даних «Пацієнти» і «Кадри», які зареєстровані в державній службі України з питань захисту персональних даних.

Розроблене Положення «Про порядок обробки та захисту персональних даних».

Положення про порядок обробки та захист персональних даних працівників та пацієнтів (далі — Положення) визначає комплекс організаційних та технічних заходів для забезпечення захисту персональних даних працівників від несанкціонованого доступу, витоку інформації, неправомірного використання або втрати під час обробки.

Положення розроблено на підставі Закону України «Про захист персональних даних» від 01.06.2010 № 2297-VI (далі — Закон) та Типового порядку обробки персональних даних у базах персональних даних, затвердженого наказом Міністерства юстиції України від 30.12.2011 № 3659/5, зареєстрованим у Мін’юсті 03.01.2012 за № 1/20314 (далі — Типовий порядок).

Під обробкою персональних даних працівників розуміється будь-яка дія або сукупність дій, здійснюваних повністю або частково у будь-якій автоматизованій системі та/або в картотеках персональних даних, які пов’язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, відновленням, використанням та поширенням, знеособленням, знищенням відомостей про працівників та пацієнтів Підприємства.

База персональних даних «Працівники» розміщена у відділі кадрів, бухгалтерії та економічному відділі Підприємства.

База персональних даних «Пацієнти» розміщена у реєстратурах структурних підрозділів та лікарів Підприємства.

Персональні дані у базах персональних даних «Працівники» та «Пацієнти» обробляються на паперових носіях та за допомогою автоматизованих систем.

Мета обробки персональних даних у базі персональних даних «Працівники»

1. Обробка персональних даних у базі персональних даних «Працівники» проводиться з метою забезпечення реалізації:

  • трудових, соціально-трудових відносин, відносин у сфері управління персоналом, військового обліку (відповідно до Кодексу законів про працю України, Законів України «Про професійні спілки, їх права та гарантії діяльності», «Про військовий обов’язок та військову службу», «Про охорону праці», колективного договору Підприємства);
  • адміністративно-правових відносин (відповідно до Господарського кодексу України, Цивільного кодексу України, згідно зі статутом Підприємства),
  • відносин у сфері бухгалтерського і податкового обліку (відповідно до Податкового кодексу України, Законів України «Про бухгалтерський облік та фінансову звітність в Україні», «Про оплату праці»).

2. Обробка персональних даних працівників є необхідною для:

  • ведення кадрового діловодства;
  • підготовки визначеної законодавством статистичної та іншої звітності;
  • отримання аналітичної та прогнозної інформації з кадрового менеджменту;
  • документального забезпечення кадрового діловодства, а також прав та обов’язків працівників та роботодавця у сфері праці та соціального захисту.

Склад персональних даних у базі персональних даних «Працівники»:

Відповідно до визначеної мети обробки, нормативно-правових актів, потреб управлінської діяльності Підприємства у базі персональних даних «Працівники» обробляються:

персональні дані, необхідність обробки яких передбачена Законами України:

  • прізвище, ім’я, по батькові;
  • дата і місце народження;
  • паспортні дані;
  • ідентифікаційний номер (номер облікової картки платника податків);
  • відомості з військового квитка (приписного свідоцтва) (для військовозобов’язаних та осіб призовного віку), в обсязі, необхідному для ведення військового обліку;
  • відомості про трудову діяльність, що містяться у трудовій книжці;

інші персональні дані, необхідність обробки яких визначена галузевими нормативно-правовими актами, пов’язана з кваліфікаційними вимогами до посади та/або специфікою діяльності Підприємства:

  • відомості про освіту, наявність спеціальних знань або підготовки (за потреби, залежно від кваліфікаційних вимог до посади);
  • відомості про наявність кваліфікаційної категорії (розряду, класу тощо);
  • відомості про стан здоров’я (обробляються відповідно до статті 24 Кодексу законів про працю України в обсязі, необхідному для реалізації трудових відносин та для забезпечення вимог законодавства у сфері охорони праці);
  • біографічні дані;
  • відомості про ділові та особисті якості, зокрема, вказані у поданому при працевлаштуванні резюме (у т. ч. щодо рис характеру, особистих захоплень, звичок);
  • відомості про родинний стан, членів родини в обсязі, необхідному для реалізації трудових відносин;
  • відомості про фактичне місце проживання, номери телефонів;
  • відомості про членство у професійних спілках;
  • відомості, що підтверджують право на пільги та компенсації відповідно до законодавства (встановлення інвалідності, належність до категорії постраждалих від аварії на ЧАЕС, отримання пенсії за віком, статус одинокої матері, опікуна, піклувальника, усиновлення дитини тощо);
  • резюме кандидатів на вакантні посади;
  • дані осіб, що проходять стажування (в органах управління охороною здоров’я);
  • дані осіб, що проходять у Підприємства виробничу практику (студентів медичних та фармацевтичних вищих навчальних закладів I-IV рівнів акредитації);
  • дані осіб, що допущені до проходження заочної частини інтернатури;
  • відомості, що містяться у Декларації про майно, доходи, витрати і зобов’язання фінансового характеру (Додаток до Закону України “Про засади запобігання і протидії корупції”);
  • фото- та відеозображення.

2. На Підприємстві не обробляються відомості про расове або етнічне походження працівників, їх політичні, релігійні або світоглядні переконання, членство в політичних партіях, відомості, що стосуються статевого життя.

Передавання персональних даних:

  • Передавання персональних даних працівників третім особам визначається умовами згоди працівника на обробку його персональних даних, наданої при прийнятті на роботу, або відповідно до вимог Закону.
  • Передання персональних даних працівників третім особам допускається в мінімально необхідних обсягах і лише з метою виконання завдань, які відповідають об’єктивній причини збирання відповідних даних.
  • Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов’язання щодо забезпечення виконання вимог Закону або неспроможна їх забезпечити.
  • Персональні дані працівника передаються банківській установі виключно для реалізації карткового зарплатного проекту відповідно до згоди працівника на обробку його персональних даних.

Без згоди працівника його персональні дані можуть передаватися у випадках:
– коли передача персональних даних прямо передбачена законодавством України, і лише в інтересах національної безпеки, економічного добробуту та прав людини;

– отримання запиту від органів державної влади і місцевого самоврядування, що діють у межах повноважень, наданих законодавством України.

  • В інших випадках, доступ до персональних даних працівника надається третім особам лише за письмової згоди працівника по кожному запиту окремо у порядку, визначеному пунктами 3–5 статті 16 Закону. Запити та факти доступу таких третіх осіб до персональних даних працівників підлягають реєстрації.
  • Забороняється передавання персональних даних працівників третім особам по телефону або факсом.
  • Працівник має право на одержання будь-яких відомостей про себе, що містяться у базі персональних даних «Працівники», без зазначення мети запиту.
  • У разі смерті працівника його персональні дані можуть бути надані спадкоємцям першої черги (відповідно до законодавства України) за письмовим запитом після надання оригіналу свідоцтва про смерть.

Захист персональних даних у формі картотек :

  • Головний бухгалтер і старший інспектор з кадрів забезпечують захист персональних даних у формі картотек (на паперових носіях) від несанкціонованого доступу.
  • До роботи з картотеками персональних даних допускаються лише працівники, у посадових інструкціях яких передбачено відповідні функції та які надали письмове зобов’язання щодо нерозголошення персональних даних
  • Двері у приміщення, де зберігаються картотеки персональних даних, обладнані замками.
  • Картотеки зберігаються у шафах і сейфах, що надійно зачиняються (з урахуванням вимог нормативно-правових актів, що регламентують ведення відповідних картотек).

Обробка персональних даних у базі персональних даних «Пацієнти»

Положення про порядок обробки та захист персональних даних пацієнтів у базі персональних даних “Пацієнти” визначає комплекс організаційних та технічних заходів для забезпечення захисту персональних даних пацієнтів Підприємства від несанкціонованого доступу, витоку інформації, неправомірного використання або втрати під час обробки.

Персональні дані пацієнтів є інформацією з обмеженим доступом.

Персональні дані пацієнтів Підприємства обробляються у базі персональних даних “Пацієнти”, володільцем якої є Підприємство.

Для бази персональних даних “Пацієнти” розпорядники відсутні. Працівники Підприємства не є розпорядниками зазначеної бази персональних даних.

База персональних даних “Пацієнти” розміщена у реєстратурах та кабінетах лікарів Підприємства.

Персональні дані у базі персональних даних “Пацієнти” обробляються на паперових носіях та за допомогою автоматизованих систем.

Для бази персональних даних “Пацієнти” третіми особами є:

  • органи дізнання, попереднього слідства або судового розгляду за письмовим запитом особи, яка проводить дізнання, слідчого, прокурора та суду;
  • податкова служба;
  • центр зайнятості населення;
  • пенсійний фонд;
  • обласна державна адміністрація;
  • міський виконавчий комітет;
  • районні адміністрації;
  • військовий комісаріат.

Мета обробки персональних даних:

  1. Обробка персональних даних у базі персональних даних “Пацієнти” проводиться з метою забезпечення взаємовідносин у сфері охорони здоров’я.
  2. Обробка персональних даних пацієнтів є необхідною для отримання відомостей про фізичну особу у строгій відповідності до облікових медичних форм, затверджених наказами МОЗ України, що містяться в історії хвороби, амбулаторних картах, інших облікових медичних формах, проводиться з метою забезпечення реалізації відносин у сфері охорони здоров’я відповідно до Основ законодавства України про охорону здоров’я, наказів МОЗ України, що затверджують облікові медичні форми.

Склад персональних даних у базі персональних даних “Пацієнти”:

Відповідно до визначеної мети обробки у базі персональних даних “Пацієнти” обробляються:

  • персональні дані, необхідність обробки яких передбачена Законами України:
  • прізвище, ім’я, по батькові;
  • дата і місце народження;
  • паспортні дані;
  • відомості про трудову діяльність;
  • відомості про освіту, наявність спеціальних знань або підготовки;
  • біографічні дані;
  • відомості про стан здоров’я;
  • відомості про родинний стан, членів родини в обсязі для забезпечення реалізації відносин у сфері охорони здоров’я;
  • відомості, що підтверджують право на пільги відповідно до законодавства (встановлення інвалідності, належність до пільгової категорії ІОВ, УОВ, ЧАЄС, учасників бойових дій, статус опікуна, недієздатного, тощо);
  • відомості про фактичне місце проживання, номери телефонів.

На Підприємстві не обробляються відомості про расове або етнічне походження пацієнтів, їх політичні, релігійні або світоглядні переконання, членство в політичних партіях, відомості, що стосуються статевого життя.

Передавання персональних даних:

  1. Передавання персональних даних пацієнтів третім особам визначається умовами згоди пацієнта на обробку його персональних даних, а також без його згоди у випадках, суворо визначеними законодавством.
  2. Передання персональних даних пацієнтів третім особам допускається в мінімально необхідних обсягах і лише з метою виконання завдань, які відповідають об’єктивній причини збирання відповідних даних.
  3. Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов’язання щодо забезпечення виконання вимог Закону або неспроможна їх забезпечити.
  4. В інших випадках, доступ до персональних даних пацієнта надається третім особам лише за письмової згоди пацієнта по кожному запиту окремо у порядку, визначеному пунктами 3-5 статті 16 Закону. Запити та факти доступу таких третіх осіб до персональних даних працівників підлягають реєстрації.
  5. Забороняється передавання персональних даних пацієнтів третім особам по телефону або факсом.
  6. Пацієнт має право на одержання будь-яких відомостей про себе, що містяться у базі персональних даних “Пацієнти”, без зазначення мети запиту.

Захист персональних даних при їх обробці

Захист персональних даних пацієнтів в автоматизованій системі:

  1. Право доступу до бази персональних даних “Пацієнти” надається працівникам Підприємства, які надали письмове зобов’язання щодо нерозголошення персональних даних.
  2. Право внесення нових та редагування існуючих персональних даних до паперових носіїв та у вигляді електронних картотек “Пацієнти” належить тільки реєстраторам медичним та лікарям Підприємства у відповідності до їх посадових обов’язків.
  3. Інші працівники Підприємства мають тільки право перегляду та використання персональних даних для реалізації відносин, передбачених їх посадовими обов’язками.
  4. Автоматизована система в обов’язковому порядку забезпечується антивірусним захистом та засобами безперебійного живлення елементів систем. Відповідні заходи забезпечує адміністратор системи.
  5. При переведенні на іншу посаду, яка не передбачає обробки персональних даних, або звільненні працівника, який мав право на обробку персональних даних в автоматизованій системі, необхідно припинити/закрити доступ працівника до системи.

Захист персональних даних у формі картотек:

  1. Відповідальні особи та керівники структурних підрозділів забезпечують захист персональних даних у формі картотек (на паперових носіях) від несанкціонованого доступу.
  2. До роботи з картотеками персональних даних допускаються лише працівники, у посадових інструкціях яких передбачено відповідні функції та які надали письмове зобов’язання щодо нерозголошення персональних даних.
  3. Двері у приміщення, де зберігаються картотеки персональних даних, обладнані замками.
  4. Картотеки зберігаються у шафах і сейфах, що надійно зачиняються (з урахуванням вимог нормативно-правових актів, що регламентують ведення відповідних картотек).

Форма («згода на обробку персональних даних») заповнюється особою, яка дає згоду на обробку його персональних даних.

Згода пацієнта на обробку персональних даних підписується особисто пацієнтом і вклеюється в медичну карту амбулаторного хворого або історію розвитку дитини.