ГЛАВА 1

ОБЩИЕ ПОЛОЖЕНИЯ

 

1. Политика обработки персональных данных в учреждении здравоохранения «Минская городская медико-реабилитационная экспертная комиссия» (далее — Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов обрабатываемых в учреждении здравоохранения «Минская городская медико-реабилитационная экспертная комиссия» (далее – УЗ МГ МРЭК) персональных данных, функции УЗ МГ МРЭК при обработке персональных данных, права субъектов персональных данных, а также требования к защите персональных данных.
2. Политика разработана с учетом требований Конституции Республики Беларусь, законодательных и иных нормативных правовых актов Республики Беларусь в области персональных данных.
3. Положения Политики служат основой для разработки локальных правовых актов, регламентирующих в УЗ МГ МРЭК вопросы обработки персональных данных работников и других субъектов персональных данных.

 

ГЛАВА 2

ЗАКОНОДАТЕЛЬНЫЕ И ИНЫЕ НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ РЕСПУБЛИКИ БЕЛАРУСЬ, В СООТВЕТСТВИИ С КОТОРЫМИ ОПРЕДЕЛЯЕТСЯ ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

4. Политика обработки персональных данных в УЗ МГ МРЭК определяется в соответствии со следующими нормативными правовыми актами:

Конституция Республики Беларусь;

Трудовой кодекс Республики Беларусь;

Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных»;

Закон Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»;

Закон Республики Беларусь от 18.06.1993 № 2435-XII                                 «О здравоохранении»;

Закон Республики Беларусь от 18.07.2011 № 300-З «Об обращениях граждан и юридических лиц»;

иные нормативные правовые акты Республики Беларусь                              и нормативные документы уполномоченных государственных органов.

5. В целях реализации положений Политики в УЗ МГ МРЭК разрабатываются соответствующие локальные правовые акты и иные документы, в том числе:

положение об обработке и защите персональных данных (прилагается);

положение о порядке обеспечения конфиденциальности при обработке информации, содержащей персональные данные (прилагается);

иные локальные правовые акты и документы, регламентирующие  в УЗ МГ МРЭК вопросы обработки персональных данных.

 

ГЛАВА 3

ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ, ИСПОЛЬЗУЕМЫЕ В ЛОКАЛЬНЫХ ПРАВОВЫХ АКТАХ, РЕГЛАМЕНТИРУЮЩИХ ВОПРОСЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

6. В настоящем Положении применяются термины в значениях, определенных в Законе Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных».

 

ГЛАВА 4

ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

7. УЗ МГ МРЭК, являясь оператором персональных данных (далее – Оператор), осуществляет обработку персональных данных работников Оператора и других субъектов персональных данных, не состоящих с Оператором в трудовых отношениях.
8. Обработка персональных данных осуществляется с учетом необходимости обеспечения защиты прав и свобод работников Оператора и других субъектов персональных данных, в том числе защиты права на неприкосновенность частной жизни, личную и семейную тайну, на основе следующих принципов:

обработка персональных данных осуществляется на законной  и справедливой основе;

обработка персональных данных осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;

обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами;

обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;

содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не являются избыточными по отношению                          к заявленным целям обработки;

обработка персональных данных носит прозрачный характер. Субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных;

оператор принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;

хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных,  не дольше, чем этого требуют заявленные цели обработки персональных данных.

9. Персональные данные обрабатываются в целях:

обеспечения соблюдения Конституции Республики Беларусь, законодательных и иных нормативных правовых актов Республики Беларусь, локальных правовых актов Оператора;

осуществления функций, полномочий и обязанностей, возложенных законодательством Республики Беларусь, на Оператора, в том числе  по предоставлению персональных данных в государственные органы, в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, а также в иные государственные организации;

регулирования трудовых отношений с работниками Оператора (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);

защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;

подготовки, заключения, исполнения и прекращения договоров  с контрагентами;

обеспечения пропускного и внутриобъектового режимов на объектах Оператора;

формирования справочных материалов для внутреннего информационного обеспечения деятельности Оператора;

исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством Республики Беларусь об исполнительном производстве;

осуществления прав и законных интересов в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными правовыми актами, либо достижения общественно значимых целей;

в иных законных целях.

 

ГЛАВА 5

ПЕРЕЧНЬ СУБЪЕКТОВ, ПЕРСОНАЛЬНЫЕ ДАННЫЕ КОТОРЫХ ОБРАБАТЫВАЮТСЯ

 

10. Оператором обрабатываются персональные данные следующих категорий субъектов:

работники Оператора;

другие субъекты персональных данных (для обеспечения реализации целей обработки, указанных в главе 4 Политики).

 

ГЛАВА 6

ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

11. Перечень персональных данных определяется в соответствии с законодательством и локальными правовыми актами Оператора с учетом целей обработки персональных данных, указанных в главе 4 Политики. 

12. Обработка специальных персональных данных, касающихся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или интимной жизни, привлечения к административной или уголовной ответственности, а также биометрических и генетических персональных данных не осуществляется.

 

ГЛАВА 7

ОСУЩЕСТВЛЕНИЕ ФУНКЦИЙ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

13. Оператор при осуществлении обработки персональных данных:

принимает меры, необходимые и достаточные для обеспечения выполнения требований законодательства и локальных правовых актов Оператора в области персональных данных;

принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;

назначает структурное подразделение или лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных;

издает локальные правовые акты, определяющие политику  и вопросы обработки и защиты персональных данных;

осуществляет ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства и локальных правовых актов Оператора в области персональных данных, в том числе требованиями к защите персональных данных, и обучение указанных работников;

публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;

сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством;

прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством в области персональных данных;

совершает иные действия, предусмотренные законодательством  в области персональных данных.

 

ГЛАВА 8

УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

14. Обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством в области персональных данных.
15. Оператор без согласия субъекта персональных данных  не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено законодательством.
16. Оператор вправе поручить обработку персональных данных от имени Оператора или в его интересах уполномоченному лицу на основании заключаемого с этим лицом договора. Договор должен содержать:

цели обработки персональных данных;

перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;

обязанности по соблюдению конфиденциальности персональных данных;

меры по обеспечению защиты персональных данных в соответствии со статьей 17 Закона Республики Беларусь от 07.05.2021 № 99-З                       «О защите персональных данных».

17. В целях внутреннего информационного обеспечения может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, адрес, абонентский номер, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.
18. Доступ к обрабатываемым персональным данным разрешается только работникам, назначенным приказом главного врача УЗ « МГ МРЭК». 

ГЛАВА 9

ПЕРЕЧЕНЬ ДЕЙСТВИЙ С ПЕРСОНАЛЬНЫМИ ДАННЫМИ

И СПОСОБЫ ИХ ОБРАБОТКИ

 

19. Оператор осуществляет обработку персональных данных (любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных);
20. Обработка персональных данных осуществляется следующими способами:

с использованием средств автоматизации;

без использования средств автоматизации, если при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и иное).

 

ГЛАВА 10

ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

21. Субъекты персональных данных имеют право на:

отзыв согласия субъекта персональных данных;

получение информации, касающейся обработки персональных данных, и изменение персональных данных;

требование прекращения обработки персональных данных и (или) их удаления;

обжалование действий (бездействия) и решений оператора, связанных с обработкой персональных данных.

 

ГЛАВА 11

МЕРЫ, ПРИНИМАЕМЫЕ ДЛЯ ОБЕСПЕЧЕНИЯ ВЫПОЛНЕНИЯ ОБЯЗАННОСТЕЙ ОПЕРАТОРА ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

22. Меры, необходимые и достаточные для обеспечения выполнения обязанностей Оператора, предусмотренных законодательством в области персональных данных, включают:

предоставление субъектам персональных данных необходимой информации до получения их согласий на обработку персональных данных;

разъяснение субъектам персональных данных их прав, связанных               с обработкой персональных данных;

получение письменных согласий субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством;

назначение структурного подразделения или лица, ответственного  за осуществление внутреннего контроля за обработкой персональных данных;

издание документов, определяющих политику в отношении обработки персональных данных;

ознакомление работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства    о персональных данных;

установление порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);

осуществление технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь,  в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные;

обеспечение неограниченного доступа, в том числе  с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику в отношении обработки персональных данных, до начала такой обработки;

прекращение обработки персональных данных при отсутствии оснований для их обработки;

незамедлительное уведомление уполномоченного органа по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных;

осуществление изменения, блокирования, удаления недостоверных или полученных незаконным путем персональных данных;

ограничение обработки персональных данных достижением конкретных, заранее заявленных законных целей;

осуществление хранения персональных данных в форме, позволяющей идентифицировать субъектов персональных данных,     не дольше, чем этого требуют заявленные цели обработки персональных данных.

23. Меры по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных устанавливаются в соответствии с локальными правовыми актами Оператора, регламентирующими вопросы обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных.

 

ГЛАВА 12

КОНТРОЛЬ И ОТВЕТСТВЕННОСТЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА  И ЛОКАЛЬНЫХ ПРАВОВЫХ АКТОВ ОПЕРАТОРА В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, В ТОМ ЧИСЛЕ ТРЕБОВАНИЙ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

 

24. Контроль за соблюдением структурными подразделениями Оператора законодательства Республики Беларусь и локальных правовых актов Оператора в области персональных данных, в том числе требованиям к защите персональных данных, осуществляется с целью проверки соответствия обработки персональных данных в структурных подразделениях законодательству и локальным правовым актам Оператора в области персональных данных, в том числе требованиям к защите персональных данных, а также принятых мер, направленных на предотвращение и выявление нарушений законодательства в области персональных данных, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.
25. Внутренний контроль за соблюдением структурными подразделениями Оператора законодательства Республики Беларусь и локальных правовых актов Оператора в области персональных данных, в том числе требованиям к защите персональных данных, осуществляется лицом, ответственным за организацию обработки персональных данных.

Организация работы по осуществлению внутреннего контроля за обработкой персональных данных включает в себя:

разработку совместно с заинтересованными структурными подразделениями Оператора локальных правовых актов по вопросам защиты персональных данных;

мониторинг соблюдения в структурных подразделениях Оператора требований законодательства и локальных правовых актов в сфере защиты персональных данных, а также контроль наличия в указанных подразделениях условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный доступ к ним;

организацию ознакомления работников Оператора и иных лиц, непосредственно осуществляющих обработку персональных данных, с нормами законодательства и локальных правовых актов в сфере защиты персональных данных, в том числе с требованиями по защите персональных данных, и обучения указанных работников;

внесение предложений о назначении работников структурных подразделений Оператора, ответственных за реализацию настоящей Политики и иных локальных правовых актов по вопросам защиты персональных данных.

Структурные подразделения и работники Оператора, ответственные за осуществление внутреннего контроля за обработкой персональных данных, вправе:

запрашивать и получать в установленном порядке от структурных подразделений и работников Оператора сведения и материалы, необходимые для надлежащего выполнения функций, определенных настоящей Политикой и иными локальных правовых актов в сфере защиты персональных данных;

вносить на рассмотрение уполномоченных лиц Оператора предложения, направленные на устранение причин и условий, способствующих совершению нарушений законодательства и локальных правовых актов в сфере защиты персональных данных, а также на совершенствование внутреннего контроля за обработкой персональных данных;

принимать участие в мероприятиях, проводимых в структурных подразделениях Оператора по вопросам, касающимся обеспечения защиты персональных данных;

требовать от структурных подразделений и должностных лиц Оператора принятия в соответствии с компетенцией необходимых мер к соблюдению требований законодательства и локальных правовых актов в сфере защиты персональных данных;

привлекать работников Оператора, обладающих необходимыми знаниями и компетенцией в технической или в иных сферах, к обучению работников оператора и иных лиц, непосредственно осуществляющих обработку персональных данных;

вносить в установленном порядке предложения о привлечении к дисциплинарной ответственности работников, нарушивших требования законодательства и локальных правовых актов в сфере защиты персональных данных;

выполнять иные обязанности, предусмотренные локальных правовых актов и организационно-распорядительными документами Оператора.

26. Персональная ответственность за соблюдение требований законодательства и локальных нормативных актов Оператора в области персональных данных, а также за обеспечение конфиденциальности и безопасности персональных данных в структурных подразделениях Оператора возлагается на их руководителей.
27. Лица, виновные в нарушении Закона РеспубликиБеларусь от 07.05.2021 № 99-З «О защите персональных данных», несут ответственность, предусмотренную законодательными актами.