210603, г. Витебск, ул. П.Бровки, 33

Регистратура

Сегодня:
Понедельник7:30 — 19:00
Вторник7:30 — 19:00
Среда7:30 — 19:00
Четверг7:30 — 19:00
Пятница7:30 — 19:00
Суббота8:00 — 15:00
ВоскресеньеЗакрыто

Справочная

+375 (212) 48 20 45

Сегодня:

Понедельник8:00 — 19:00
Вторник8:00 — 19:00
Среда8:00 — 19:00
Четверг8:00 — 19:00
Пятница8:00 — 19:00
Суббота8:00 — 15:00
ВоскресеньеЗакрыто

Приемная руководителя

+375 (212) 48 20 25

vokod@vitebsk.by

Учреждение здравоохранения

«Витебский областной клинический онкологический диспансер»

Политика персональных данных

УТВЕРЖДЕНО 

Приказ учреждения здравоохранения

«Витебский областной клинический

онкологический диспансер»

от 08.11.2021 №441

 

 

 

ПОЛИТИКА

обработки персональных данных

в учреждении здравоохранения «Витебский областной клинический

онкологический диспансер»

 

1. Общие положения

1.1. Настоящий документ определяет Политику обработки

персональных данных в учреждении здравоохранения

«Витебский областной клинический онкологический диспансер» (далее - «Оператор») в отношении обработки персональных данных и реализации требований к защите персональных данных (далее - «Политика») в соответствии со статьей 17 Закона Республики Беларусь № 99-3 «О защите персональных данных» от 07.05.2021.

1.2. Политика разработана в соответствии с действующим законодательством Республики Беларусь о персональных данных и

распространяется на все процессы Оператора, связанные с обработкой персональных данных.

1.3. Политика вступает в силу с момента подписания руководителем

Оператора приказа об утверждении Политики. Положения Политики действуют бессрочно, до их отмены. Все изменения в Политику вносятся приказом руководителя Оператора.

1.4. Политика является общедоступным документом, декларирующим

основы деятельности Оператора при обработке персональных данных, и подлежит опубликованию на официальном сайте Оператора в

информационно-телекоммуникационной сети «Интернет» (далее - сеть

«Интернет») по адресу: onco.by.

 

2. Основные понятия

2.1. В настоящей Политике используются следующие понятия, термины и сокращения:

персональные данные - любая информация, относящаяся к идентифицированному физическому лицу ил и физическому лицу, которое может быть идентифицировано;

специальные персональные данные - персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной

или уголовной ответственности, а также биометрические и генетические персональные данные;

оператор - государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель, самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных. В настоящей Политике под «Оператором» понимается учреждение здравоохранения «Витебский областной клинический онкологический диспансер ».

субъект персональных данных - физическое лицо, в отношении которого осуществляется обработка персональных данных;

трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства;

обработка персональных данных - любое действие или совокупность действий, совершаемых с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных;

распространение персональных данных - действия, направленные на ознакомление с персональными данными неопределенного круга лиц;

предоставление персональных данных - действия, направленные на ознакомление с персональными данными определенных лица или круга лиц;

блокирование персональных данных - прекращение доступа к персональным данным без их удаления;

удаление персональных данных - действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных;

автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;

информационная система персональных данных (ИСПД) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;

работник - физическое лицо, вступившее в трудовые отношения с Оператором;

пациент - физическое лицо, которому оказывается медицинская помощь или которое обратилось за оказанием медицинской помощи в учреждение здравоохранения «Витебский областной клинический онкологический диспансер», независимо от наличия у него заболевания и от его состояния;

соискатель - физическое лицо, претендующее на занятие вакантной должности в штате Оператора.

физическое лицо, которое может быть идентифицировано, - физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.

 

3. Правовые основания обработки персональных данных

3.1. Политика Оператора в области обработки персональных данных определяется в соответствии с:

Конституцией Республики Беларусь;

Законом Республики Беларусь № 99-3 «О защите персональных данных» от 07.05.2021;

другими нормативно-правовыми актами Республики Беларусь, относящиеся к вопросу обработки и защиты персональных данных.

 

4. Принципы обработки персональных данных

4.1. Обработка персональных данных осуществляется Оператором на основании следующих принципов:

обработка персональных данных Оператором осуществляется на законном основании;

обработка персональных данных соразмерна заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;

обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных Законом «О защите персональных данных» и иными законодательными актами;

обработка персональных данных без согласия субъекта персональных данных осуществляется Оператором в целях, установленных Законом «О защите персональных данных» и иными законодательными актами;

обработка персональных данных ограничивается достижением конкретных, заявленных законных целей;

содержание и объем обрабатываемых персональных данных соответствует заявленным целям их обработки, обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;

обработка персональных данных носит прозрачный характер. В этих целях субъекту персональных данных в случаях, предусмотренных Законом «О защите персональных данных», предоставляется соответствующая информация, касающаяся обработки его персональных данных;

Оператор принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;

хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.

 

5. Категории субъектов персональных данных

5.1. Оператором осуществляется обработка полученных в установленном законом порядке персональных данных, принадлежащих:

 

работникам, их близким родственникам, а также работникам, прекратившим трудовые отношения с Оператором; соискателям работы у Оператора;

физическим лицам, состоящим в договорных и иных гражданско-правовых отношениях с Оператором;

пациентам и их законным представителям.

 

6. Обработка персональных данных Оператором

6.1. Цели обработки персональных данных

6.1.1. Оператор осуществляет обработку персональных данных в целях: организации оказания медицинской помощи пациентам;

оказания платных медицинских услуг на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;

регулирования трудовых отношений с работниками, организации учета работников в соответствии с требованиями нормативно-правовых актов, содействия соискателям, работникам в трудоустройстве у Оператора, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества оператора, работника и третьих лиц.

6.1.2. Оператор не выполняет обработку специальных персональных данных, касающихся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, а также биометрические персональные данные.

6.1.3. Оператор не производит трансграничную передачу персональных данных, за исключением случаев, когда:

дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;

персональные данные получены на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;

персональные данные могут быть получены любым лицом посредством направления запроса в случаях и порядке, предусмотренных законодательством;

такая передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;

обработка персональных данных осуществляется в рамках исполнения международных договоров Республики Беларусь.

 

6.2. Перечень действий с персональными данными и способы их обработки

6.2.1. Оператор осуществляет любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.

6.2.2. Обработка персональных данных Оператором ведется:

с использованием средств автоматизации;

без использования средств автоматизации, при этом обеспечиваются поиск персональных данных и доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и другое).

6.3. Получение персональных данных Оператором

6.3.1. Все персональные данные следует получать от самого субъекта персональных данных.

Обработка персональных данных в целях, заявленных в пункте 6.1.1 настоящей Политики, в соответствии со статьями 6, 8 Закона «О защите персональных данных» осуществляется Оператором без получения согласия субъекта персональных данных.

Обработка специальных персональных данных в целях организации оказания медицинской помощи осуществляется медицинским, фармацевтическим или иным работником здравоохранения, на которого возложены обязанности по обеспечению защиты персональных данных и в соответствии с законодательством распространяется обязанность сохранять врачебную тайну.

Обработка персональных данных в целях, помимо заявленных в пункте 6.1.1 настоящей Политики, осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных Законом «О защите персональных данных» и иными законодательными актами.

6.4. Предоставление персональных данных третьим лицам

6.4.1. Предоставление Оператором персональных данных третьим лицам осуществляется исключительно для достижения целей, заявленных для обработки персональных данных в статье 6 настоящей Политики.

6.4.2. Передача персональных данных третьим лицам осуществляется с письменного согласия субъекта персональных данных, которое оформляется в соответствии с пунктом 8.5 настоящей Политики.

6.4.3. Передача персональных данных третьим лицам без письменного согласия субъекта персональных данных осуществляется в случаях, когда Законом «О защите персональных данных» и иными законодательными актами прямо предусматривается обработка персональных данных без согласия субъекта персональных данных.

 

6.5. Хранение персональных данных

Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен законодательством, договором, стороной которого является субъект персональных данных.

 

7. Меры по обеспечению безопасности персональных данных при их обработке

7.1. Оператор принимает необходимые и достаточные правовые, организационные и технические меры по обеспечению защиты персональных данных от несанкционированного или случайного доступа к ним, изменения, блокирования, копирования, распространения, предоставления, удаления персональных данных, а также от иных неправомерных действий в отношении персональных данных.

7.2. Обеспечение защиты персональных данных достигается следующими мерами:

назначением лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных;

изданием документов, определяющих политику Оператора в отношении обработки персональных данных;

ознакомлением работников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, в том числе с требованиями по защите персональных данных, документами, определяющими политику Оператора в отношении обработки персональных данных, а также обучением указанных работников и иных лиц в порядке, установленном законодательством;

установлением порядка доступа к персональным данным, в том числе обрабатываемым в информационном ресурсе (системе);

осуществлением технической и криптографической защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные.

7.3. обеспечение неограниченного доступа, в том числе с

использованием глобальной компьютерной сети Интернет, к документам, определяющим политику Оператора в отношении обработки персональных данных, до начала такой обработки.

 

8. Права субъекта персональных данных

8.1. Право на отзыв согласия субъекта персональных данных

8.1.1. Субъект персональных данных вправе в любое время без объяснения причин отозвать свое согласие посредством подачи оператору заявления в порядке, предусмотренном пунктом 8.5 настоящей Политики.

8.1.2. Оператор в пятнадцатидневный срок после получения заявления субъекта персональных данных в соответствии с его содержанием прекращает обработку персональных данных, осуществляет их удаление и уведомляет об этом субъекта персональных данных, если отсутствуют иные основания для таких действий с персональными данными, предусмотренные Законом «О защите персональных данных» и иными законодательными актами.

8.1.3. Окончание срока действия договора, в соответствии с которым осуществлялась обработка персональных данных, или его расторжение влекут последствия, указанные в пункте 8.1.2 настоящей статьи, если иное не предусмотрено этим договором или актами законодательства.

8.2. Право на получение информации, касающейся обработки персональных данных, и изменение персональных данных

8.2.1. Субъект персональных данных имеет право на получение информации, касающейся обработки своих персональных данных, содержащей:

подтверждение факта обработки персональных данных Оператором;

его персональные данные и источник их получения;

правовые основания и цели обработки персональных данных;

срок, на который дано его согласие (при его наличия);

иную информацию, предусмотренную законодательством.

Для получения информации, указанной в подпункте 8.2.1, субъект персональных данных подает Оператору заявление в соответствии с пунктом 8.5 настоящей Политики. При этом субъект персональных данных не должен обосновывать свой интерес к запрашиваемой информации.

8.2.2. Оператор в течение пяти рабочих дней после получения соответствующего заявления субъекта персональных данных, если иной срок не установлен законодательными актами, предоставляет ему в доступной форме информацию, указанную в пункте 8.2.1, либо уведомляет его о причинах отказа в ее предоставлении. Предоставляется такая информация субъекту персональных данных бесплатно, за исключением случаев, предусмотренных законодательными актами.

8.2.3. Информация, указанная в пункте 8.2.1, не предоставляется:

если персональные данные могут быть получены любым лицом посредством направления запроса в порядке, установленном законодательством, либо доступа к информационному ресурсу (системе) в глобальной компьютерной сети Интернет;

 

если обработка персональных данных осуществляется в иных случаях, предусмотренных законодательными актами.

8.2.4. Субъект персональных данных вправе требовать от Оператора внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными. В этих целях субъект персональных данных подает Оператору заявление в соответствии с пунктом 8.5 настоящей Политики, с приложением соответствующих документов и (или) их заверенных в установленном порядке копий, подтверждающих необходимость внесения изменений в персональные данные.

Оператор в пятнадцатидневный срок после получения заявления субъекта персональных данных вносит соответствующие изменения в его персональные данные и уведомляет об этом субъекта персональных данных либо уведомляет субъекта персональных данных о причинах отказа во внесении таких изменений, если иной порядок внесения изменений в персональные данные не установлен законодательными актами.

8.3. Право на получение информации о предоставлении персональных

данных третьим лицам

8.3.1. Субъект персональных данных вправе получать от Оператора информацию о предоставлении своих персональных данных третьим лицам один раз в календарный год бесплатно, если иное не предусмотрено законодательными актами.

Для получения указанной информации субъект персональных данных подает заявление Оператору в соответствии с пунктом 8.5 настоящей Политики.

8.3.2. Оператор в пятнадцатидневный срок после получения заявления субъекта персональных данных предоставляет ему информацию о том, какие персональные данные этого субъекта и кому предоставлялись в течение года, предшествовавшего дате подачи заявления, либо уведомляет субъекта персональных данных о причинах отказа в ее предоставлении.

8.3.3. Информация, указанная в пункте 8.3, может не предоставляться в случаях, предусмотренных пунктом 8.2.3 настоящей Политики.

8.4. Право требовать прекращения обработки персональных данных и

(или) их удаления

8.4.1. Субъект персональных данных вправе требовать от Оператора бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом «О защите персональных данных» и иными законодательными актами.

Для реализации указанного права субъект персональных данных подает Оператору заявление в порядке, установленном пунктом 8.5 Политики.

 

8.4.2. Оператор в случае, предусмотренном пунктом 8.4.1 настоящей Политики, в пятнадцатидневный срок после получения заявления субъекта персональных данных прекращает обработку персональных данных, а также осуществляет их удаление и уведомляет об этом субъекта персональных данных.

8.4.3. Оператор вправе отказать субъекту персональных данных в удовлетворении требований о прекращении обработки его персональных данных и (или) их удалении при наличии оснований для обработки персональных данных, предусмотренных законодательными актами, в том числе если они являются необходимыми для заявленных целей их обработки, с уведомлением об этом субъекта персональных данных в пятнадцатидневный срок.

8.5. Порядок подачи заявления субъектом персональных данных

оператору

8.5.1. Субъект персональных данных для реализации прав, предусмотренных пунктами 8.1—8.4 настоящей Политики, подает Оператору заявление в письменной форме либо в виде электронного документа.

8.5.2. Заявление субъекта персональных данных должно содержать:

фамилию, собственное имя, отчество (если таковое имеется) субъекта

персональных данных, адрес его места жительства (места пребывания);

дату рождения субъекта персональных данных;

идентификационный номер субъекта персональных данных, при отсутствии такого номера - номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;

изложение сути требований субъекта персональных данных;

личную подпись либо электронную цифровую подпись субъекта персональных данных.

8.5.3. Ответ на заявление направляется субъекту персональных данных в форме, соответствующей форме подачи заявления, если в самом заявлении не указано иное.

 

9. Обязанности оператора

Оператор обязан:

разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;

получать согласие субъекта персональных данных, за исключением случаев, предусмотренных пунктом 6.1.1 настоящей Политики;

обеспечивать защиту персональных данных в процессе их обработки; предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных

 

третьим лицам, за исключением случаев, предусмотренных Законом «О защите персональных данных» и иными законодательными актами;

Лица, виновные в нарушении положений законодательства Республики Беларусь в области персональных данных при обработке персональных данных, несут ответственность, предусмотренную законодательными актами.