Обробка персональних даних
Обробка персональних даних в КНП «Психіатрична лікарня м.Маріуполь» здійснюється згідно вимог Закону України «Про захист персональних даних» від 01.06.2010 року.
Виділено дві бази даних «Пацієнти» і «Кадри», які зареєстровані в державній службі України з питань захисту персональних даних.
1. Розроблене Положення «Про порядок обробки та захисту персональних даних.
Положення про порядок обробки та захист персональних даних працівників у базі персональних даних «Працівники» (далі — Положення) визначає комплекс організаційних та технічних заходів для забезпечення захисту персональних даних працівників в від несанкціонованого доступу, витоку інформації, неправомірного використання або втрати під час обробки.
Положення розроблено на підставі Закону України «Про захист персональних даних» від 01.06.2010 № 2297-VI (далі — Закон) та Типового порядку обробки персональних даних у базах персональних даних, затвердженого наказом Міністерства юстиції України від 30.12.2011 № 3659/5, зареєстрованим у Мін’юсті 03.01.2012 за № 1/20314 (далі — Типовий порядок).
Під обробкою персональних даних працівників розуміється будь-яка дія або сукупність дій, здійснюваних повністю або частково у будь-якій автоматизованій системі та/або в картотеках персональних даних, які пов’язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, відновленням, використанням та поширенням, знеособленням, знищенням відомостей про працівників Лікарні.
База персональних даних «Працівники» розміщена у відділі кадрів, бухгалтерії та економічному відділі Лікарні.
Персональні дані у базі персональних даних «Працівники» обробляються на паперових носіях та за допомогою автоматизованих систем.
Мета обробки персональних даних:
1. Обробка персональних даних у базі персональних даних «Працівники» проводиться з метою забезпечення реалізації:
- трудових, соціально-трудових відносин, відносин у сфері управління персоналом, військового обліку (відповідно до Кодексу законів про працю України, Законів України «Про професійні спілки, їх права та гарантії діяльності», «Про військовий обов’язок та військову службу», «Про охорону праці», колективного договору Лікарні);
- адміністративно-правових відносин (відповідно до Господарського кодексу України, Цивільного кодексу України, згідно зі статутом Лікарні),
- відносин у сфері бухгалтерського і податкового обліку (відповідно до Податкового кодексу України, Законів України «Про бухгалтерський облік та фінансову звітність в Україні», «Про оплату праці»).
2. Обробка персональних даних працівників є необхідною для:
- ведення кадрового діловодства;
- підготовки визначеної законодавством статистичної та іншої звітності;
- отримання аналітичної та прогнозної інформації з кадрового менеджменту;
- документального забезпечення визначених у пункті 2.1 відносин, у т. ч. прав та обов’язків працівників та роботодавця у сфері праці та соціального захисту.
Склад персональних даних у базі персональних даних «Працівники»:
1. Відповідно до визначеної мети обробки, нормативно-правових актів, потреб управлінської діяльності Лікарні у базі персональних даних «Працівники» обробляються:
персональні дані, необхідність обробки яких передбачена Законами України:
- прізвище, ім’я, по батькові;
- дата і місце народження;
- паспортні дані;
- ідентифікаційний номер (номер облікової картки платника податків);
- відомості з військового квитка (приписного свідоцтва) (для військовозобов’язаних та осіб призовного віку), в обсязі, необхідному для ведення військового обліку;
- відомості про трудову діяльність, що містяться у трудовій книжці;
інші персональні дані, необхідність обробки яких визначена галузевими нормативно-правовими актами, пов’язана з кваліфікаційними вимогами до посади та/або специфікою діяльності Лікарні:
відомості про освіту, наявність спеціальних знань або підготовки (за потреби, залежно від кваліфікаційних вимог до посади);
відомості про наявність кваліфікаційної категорії (розряду, класу тощо);
відомості про стан здоров’я (обробляються відповідно до статті 24 Кодексу законів про працю України в обсязі, необхідному для реалізації трудових відносин та для забезпечення вимог законодавства у сфері охорони праці);
біографічні дані;
відомості про ділові та особисті якості, зокрема, вказані у поданому при працевлаштуванні резюме (у т. ч. щодо рис характеру, особистих захоплень, звичок);
відомості про родинний стан, членів родини в обсязі, необхідному для реалізації трудових відносин;
відомості про фактичне місце проживання, номери телефонів;
відомості про членство у професійних спілках;
відомості, що підтверджують право на пільги та компенсації відповідно до законодавства (встановлення інвалідності, належність до категорії постраждалих від аварії на ЧАЕС, отримання пенсії за віком, статус одинокої матері, опікуна, піклувальника, усиновлення дитини тощо);
резюме кандидатів на вакантні посади;
дані осіб, що проходять стажування (в органах управління охороною здоров’я);
дані осіб, що проходять у Лікарні виробничу практику (студентів медичних та фармацевтичних вищих навчальних закладів I-IV рівнів акредитації);
дані осіб, що допущені до проходження заочної частини інтернатури за контрактом;
відомості, що містяться у Декларації про майно, доходи, витрати і зобов'язання фінансового характеру (Додаток до Закону України "Про засади запобігання і протидії корупції").
фото- та відеозображення;
2. У Лікарні не обробляються відомості про расове або етнічне походження працівників, їх політичні, релігійні або світоглядні переконання, членство в політичних партіях, відомості, що стосуються статевого життя.
Передавання персональних даних:
- Передавання персональних даних працівників третім особам визначається умовами згоди працівника на обробку його персональних даних, наданої при прийнятті на роботу, або відповідно до вимог Закону.
- Передання персональних даних працівників третім особам допускається в мінімально необхідних обсягах і лише з метою виконання завдань, які відповідають об’єктивній причини збирання відповідних даних.
- Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов’язання щодо забезпечення виконання вимог Закону або неспроможна їх забезпечити.
- Персональні дані працівника передаються банківській установі виключно для реалізації карткового зарплатного проекту відповідно до згоди працівника на обробку його персональних даних.
Без згоди працівника його персональні дані можуть передаватися у випадках:
- коли передача персональних даних прямо передбачена законодавством України, і лише в інтересах національної безпеки, економічного добробуту та прав людини;
- отримання запиту від органів державної влади і місцевого самоврядування, що діють у межах повноважень, наданих законодавством України.
- В інших випадках, доступ до персональних даних працівника надається третім особам лише за письмової згоди працівника по кожному запиту окремо у порядку, визначеному пунктами 3–5 статті 16 Закону. Запити та факти доступу таких третіх осіб до персональних даних працівників підлягають реєстрації.
- Забороняється передавання персональних даних працівників третім особам по телефону або факсом.
- Працівник має право на одержання будь-яких відомостей про себе, що містяться у базі персональних даних «Працівники», без зазначення мети запиту.
- У разі смерті працівника його персональні дані можуть бути надані спадкоємцям першої черги (відповідно до законодавства України) за письмовим запитом після надання оригіналу свідоцтва про смерть.
Захист персональних даних у формі картотек :
- Головний бухгалтер і старший інспектор з кадрів забезпечують захист персональних даних у формі картотек (на паперових носіях) від несанкціонованого доступу.
- До роботи з картотеками персональних даних допускаються лише працівники, у посадових інструкціях яких передбачено відповідні функції та які надали письмове зобов’язання щодо нерозголошення персональних даних
- Двері у приміщення, де зберігаються картотеки персональних даних, обладнані замками.
- Картотеки зберігаються у шафах і сейфах, що надійно зачиняються (з урахуванням вимог нормативно-правових актів, що регламентують ведення відповідних картотек).
2. Положення про порядок обробки та захист персональних даних пацієнтів у базі персональних даних “Пацієнти” визначає комплекс організаційних та технічних заходів для забезпечення захисту персональних даних пацієнтів КЛПУ “Міська психіатрична лікарня №7 м.Маріуполя” від несанкціонованого доступу, витоку інформації, неправомірного використання або втрати під час обробки.
Персональні дані пацієнтів є інформацією з обмеженим доступом.
Персональні дані пацієнтів лікарні обробляються у базі персональних даних “Пацієнти”, володільцем якої є лікарня.
Для бази персональних даних “Пацієнти” розпорядники відсутні. Працівники лікарні не є розпорядниками зазначеної бази персональних даних.
База персональних даних “Пацієнти” розміщена у реєстратурі медичній диспансерного відділення та ординаторських стаціонарних відділень лікарні.
Персональні дані у базі персональних даних “Пацієнти” обробляються на паперових носіях та за допомогою автоматизованих систем.
Для бази персональних даних “Пацієнти” третіми особами є:
- органи дізнання, попереднього слідства або судового розгляду за письмовим запитом особи, яка проводить дізнання, слідчого, прокурора та суду (ст. 6 Закону України “Про психіатричну допомогу” від 22.02.2000р.);
- податкова служба;
- центр зайнятості населення;
- пенсійний фонд;
- обласна державна адміністрація;
- міський виконавчий комітет;
- районні адміністрації;
- військовий комісаріат.
Мета обробки персональних даних:
- Обробка персональних даних у базі персональних даних “Пацієнти” проводиться з метою забезпечення взаємовідносин у сфері охорони здоров’я.
- Обробка персональних даних пацієнтів є необхідною для отримання відомостей про фізичну особу у строгій відповідності до облікових медичних форм, затверджених наказами МОЗ України, що містяться в історії хвороби, амбулаторних картах, інших облікових медичних формах, проводиться з метою забезпечення реалізації відносин у сфері охорони здоров’я відповідно до Основ законодавства України про охорону здоров’я, наказів МОЗ України, що затверджують облікові медичні форми.
Склад персональних даних у базі персональних даних “Пацієнти”:
Відповідно до визначеної мети обробки у базі персональних даних “Пацієнти” обробляються:
- персональні дані, необхідність обробки яких передбачена Законами України:
- прізвище, ім’я, по батькові;
- дата і місце народження;
- паспортні дані;
- відомості про трудову діяльність;
- відомості про освіту, наявність спеціальних знань або підготовки;
- біографічні дані;
- відомості про стан здоров’я;
- відомості про родинний стан, членів родини в обсязі для забезпечення реалізації відносин у сфері охорони здоров’я;
- відомості, що підтверджують право на пільги відповідно до законодавства (встановлення інвалідності, належність до пільгової категорії ІОВ, УОВ, ЧАЄС, учасників бойових дій, статус опікуна, недієздатного, тощо);
- відомості про фактичне місце проживання, номери телефонів.
- У лікарні не обробляються відомості про расове або етнічне походження пацієнтів, їх політичні, релігійні або світоглядні переконання, членство в політичних партіях, відомості, що стосуються статевого життя.
Передавання персональних даних:
- Передавання персональних даних пацієнтів третім особам визначається умовами згоди пацієнта на обробку його персональних даних, а також без його згоди згідно Закону України “Про психіатричну допомогу” 22.02.2000р. ст.6.
- Передання персональних даних пацієнтів третім особам допускається в мінімально необхідних обсягах і лише з метою виконання завдань, які відповідають об’єктивній причини збирання відповідних даних.
- Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов’язання щодо забезпечення виконання вимог Закону або неспроможна їх забезпечити.
- В інших випадках, доступ до персональних даних пацієнта надається третім особам лише за письмової згоди пацієнта по кожному запиту окремо у порядку, визначеному пунктами 3-5 статті 16 Закону. Запити та факти доступу таких третіх осіб до персональних даних працівників підлягають реєстрації.
- Забороняється передавання персональних даних пацієнтів третім особам по телефону або факсом.
- Пацієнт має право на одержання будь-яких відомостей про себе, що містяться у базі персональних даних “Пацієнти”, без зазначення мети запиту.
Захист персональних даних при їх обробці:
Захист персональних даних пацієнтів в автоматизованій системі:
- Право доступу до бази персональних даних “Пацієнти” надається працівникам лікарні, у посадових інструкціях яких передбачено функції з обробки даних в автоматизованій системі та які надали письмове зобов’язання щодо нерозголошення персональних даних.
- Право внесення нових та редагування існуючих персональних даних до паперових носіїв та у вигляді електронних картотек “Пацієнти” належить тільки реєстраторам медичним диспансерного відділення та операторам комп’ютерного набору стаціонарних відділень у відповідності до їх посадових обов’язків.
- Інші працівники лікарні мають тільки право перегляду та використання персональних даних для реалізації відносин, передбачених їх посадовими обов’язками.
- Автоматизована система в обов’язковому порядку забезпечується антивірусним захистом та засобами безперебійного живлення елементів систем. Відповідні заходи забезпечує адміністратор системи.
- При переведенні на іншу посаду, яка не передбачає обробки персональних даних, або звільненні працівника, який мав право на обробку персональних даних в автоматизованій системі, необхідно припинити/закрити доступ працівника до системи.
Захист персональних даних у формі картотек:
- Відповідальна особа та керівники структурних підрозділів забезпечують захист персональних даних у формі картотек (на паперових носіях) від несанкціонованого доступу.
- До роботи з картотеками персональних даних допускаються лише працівники, у посадових інструкціях яких передбачено відповідні функції та які надали письмове зобов’язання щодо нерозголошення персональних даних.
- Двері у приміщення, де зберігаються картотеки персональних даних, обладнані замками.
- Картотеки зберігаються у шафах і сейфах, що надійно зачиняються (з урахуванням вимог нормативно-правових актів, що регламентуютьведення відповідних картотек).
Форма( «згода» на обробку персональних даних ) заповнюється особою, яка дає згоду на обробку його персональних даних. Згода пацієнта на обробку персональних даних підписується особисто пацієнтом і вклеюється в амбулаторну карту, при необхідності - в медичну карту стаціонарного хворого.