ПОЛИТИКА обработки персональных данных учреждения здравоохранения «Минский городской детский клинический центр по стоматологии»
УТВЕРЖДЕНО
Приказом главного врача учреждения здравоохранения
«Минский городской детский клинический центр по стоматологии»
от «__» ___________ 2022 №___
ПОЛИТИКА
обработки персональных данных
учреждения здравоохранения «Минский Городской детский клинический центр по стоматологии»
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Политика обработки персональных данных в учреждении здравоохранения «Минский городской детский клинический центр по стоматологии» (далее - Политика) определяет основные принципы, цели, условия и способы обработки персональных данных, перечни субъектов и обрабатываемых в учреждении персональных данных, функции учреждения при обработке персональных данных, права субъектов персональных данных, а также реализуемые в учреждении требования к защите персональных данных.
1.2. Политика разработана с учетом требований Конституции Республики Беларусь, законодательных и иных нормативных и правовых актов Республики Беларусь в области персональных данных.
1.3. Положения Политики служат основой для разработки локальных правовых актов, регламентирующих в учреждении здравоохранения «Минский городской детский клинический центр по стоматологии» (далее – учреждение) вопросы обработки персональных данных работников и пациентов учреждения, а также других субъектов персональных данных.
1.4. Настоящая Политика опубликована в свободном доступе в сети Интернет на сайте Оператора.
ГЛАВА 2
ЗАКОНОДАТЕЛЬНЫЕ И ИНЫЕ НОРМАТИВНЫЕ ПРАВОВЫЕ АКТЫ РЕСПУБЛИКИ БЕЛАРУСЬ, В СООТВЕТСТВИИ С КОТОРЫМИ ОПРЕДЕЛЯЕТСЯ ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В УЧРЕЖДЕНИИ ЗДРАВООХРАНЕНИЯ
2.1. Политика обработки персональных данных в учреждении здравоохранения определяется в соответствии со следующими нормативными правовыми актами:
- Конституция Республики Беларусь;
- Трудовой кодекс Республики Беларусь;
- Закон Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон);
- Закон Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации»;
- Закон Республики Беларусь от 18.06.1993 № 2435-XII «О здравоохранении»;
- приказ Министерства здравоохранения Республики Беларусь от 25.05.2018 № 536 «О некоторых вопросах формирования интегрированных электронных медицинских карт в Республике Беларусь»;
- постановление Министерства здравоохранения Республики Беларусь от 28.05.2021 № 64 «Об утверждении Инструкции о порядке обезличивания персональных данных лиц, которым оказывается медицинская помощь»;
- постановление Министерства здравоохранения Республики Беларусь от 07.06.2021 № 74 «О формах и порядке дачи и отзыва согласия на внесение и обработку персональных данных пациента» (вместе с Инструкцией о формах и порядке дачи и отзыва согласия на внесение и обработку персональных данных, информации, составляющей врачебную тайну, отказа от их внесения и обработки и порядке информирования о праве на отказ от внесения информации, составляющей врачебную тайну, в централизованную информационную систему здравоохранения);
- иные нормативные и правовые акты Республики Беларусь и нормативные документы, уполномоченных органов государственной власти.
2.2. В целях реализации положений Политики в учреждении разрабатываются соответствующие локальные правовые акты и иные документы, в том числе:
- Положение об обработке и защите персональных данных в учреждении здравоохранения «Минский городской детский клинический центр по стоматологии» (Приложение 1);
- Положение о порядке обеспечения конфиденциальности при обработке информации, содержащей персональные данные в учреждении здравоохранения «Минский городской детский клинический центр по стоматологии» (Приложение 2);
- иные локальные правовые акты и документы, регламентирующие в учреждении вопросы обработки персональных данных.
ГЛАВА 3
ОСНОВНЫЕ ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ, ИСПОЛЬЗУЕМЫЕ В ЛОКАЛЬНЫХ ПРАВОВЫХ АКТАХ УЧРЕЖДЕНИЯ ЗДРАВООХРАНЕНИЯ, РЕГЛАМЕНТИРУЮЩИХ ВОПРОСЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Персональные данные - любая информация, относящаяся к идентифицированному физическому лицу или физическому лицу, которое может быть идентифицировано;
3.2. Оператор - государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, в том числе индивидуальный предприниматель (далее, если не определено иное, - физическое лицо), самостоятельно или совместно с иными указанными лицами организующие и (или) осуществляющие обработку персональных данных;
(Оператор - учреждение здравоохранения «Минский городской детский клинический центр по стоматологии», расположенное по адресу: г. Минск, Сморговский тракт, 10).
3.3. Субъект персональных данных - физическое лицо, в отношении которого осуществляется обработка персональных данных.
3.4. Уполномоченное лицо - государственный орган, юридическое лицо Республики Беларусь, иная организация, физическое лицо, которые в соответствии с актом законодательства, решением государственного органа, являющегося оператором, либо на основании договора с оператором осуществляют обработку персональных данных от имени оператора или в его интересах.
3.5. Физическое лицо, которое может быть идентифицировано, - физическое лицо, которое может быть прямо или косвенно определено, в частности через фамилию, собственное имя, отчество, дату рождения, идентификационный номер либо через один или несколько признаков, характерных для его физической, психологической, умственной, экономической, культурной или социальной идентичности.
3.6. Биометрические персональные данные - информация, характеризующая физиологические и биологические особенности человека, которая используется для его уникальной идентификации (отпечатки пальцев рук, ладоней, радужная оболочка глаза, характеристики лица и его изображение и другое).
3.7. Генетические персональные данные - информация, относящаяся к наследуемым либо приобретенным генетическим характеристикам человека, которая содержит уникальные данные о его физиологии либо здоровье и может быть выявлена, в частности, при исследовании его биологического образца.
3.8. Общедоступные персональные данные - персональные данные, распространенные самим субъектом персональных данных либо с его согласия или распространенные в соответствии с требованиями законодательных актов.
3.9. Специальные персональные данные - персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.
3.10. Предоставление персональных данных - действия, направленные на ознакомление с персональными данными определенных лиц или круга лиц;
распространение персональных данных - действия, направленные на ознакомление с персональными данными неопределенного круга лиц.
3.11. Обработка персональных данных - любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
3.12. Блокирование персональных данных - прекращение доступа к персональным данным без их удаления.
3.13. Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
3.14. Удаление персональных данных - действия, в результате которых становится невозможным восстановить персональные данные в информационных ресурсах (системах), содержащих персональные данные, и (или) в результате которых уничтожаются материальные носители персональных данных.
3.15. Распространение персональных данных - действия, направленные на ознакомление с персональными данными неопределенного круга лиц;
специальные персональные данные - персональные данные, касающиеся расовой либо национальной принадлежности, политических взглядов, членства в профессиональных союзах, религиозных или других убеждений, здоровья или половой жизни, привлечения к административной или уголовной ответственности, а также биометрические и генетические персональные данные.
3.16. Трансграничная передача персональных данных - передача персональных данных на территорию иностранного государства.
3.17. Информация - сведения (сообщения, данные) независимо от формы их представления.
3.18. Обработка персональных данных с использованием средств автоматизации - обработка персональных данных с помощью средств вычислительной техники, при этом такая обработка не может быть признана осуществляемой исключительно с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
ГЛАВА 4
ОСНОВНЫЕ ПРИНЦИПЫ И ЦЕЛИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Учреждение здравоохранения «Минский городской детский клинический центр по стоматологии», являясь Оператором персональных данных, осуществляет обработку персональных данных работников и пациентов учреждения, а также других субъектов персональных данных, не состоящих с учреждением в трудовых отношениях.
4.2. Обработка персональных данных осуществляется с учетом необходимости обеспечения защиты прав и свобод работников и пациентов, а также других субъектов персональных данных:
- обработка персональных данных осуществляется в соответствии с Законом Республики Беларусь № 99-З от 07.05.2021 «О защите персональных данных» (далее -Закон) и другими актами законодательства;
- обработка персональных данных осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;
- обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами;
- обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;
- обработка персональных данных должна носить прозрачный характер. В случаях, предусмотренных Законом, субъекту персональных данных может предоставляться информация, касающаяся обработки его персональных данных;
- оператор принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;
- хранение персональных данных должно осуществляться в форме, позволяющей идентифицировать субъекта персональных данных, не дольше чем этого требуют заявленные цели обработки персональных данных.
4.3. Персональные данные в учреждении обрабатываются в целях:
- обеспечения соблюдения законодательных и иных нормативных правовых актов Республики Беларусь, локальных правовых актов учреждения здравоохранения «Минский городской детский клинический центр по стоматологии»;
- осуществления своей деятельности в соответствии с уставом;
- организации оказания медицинской помощи пациентам;
- оказания платных медицинских услуг на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
- ведения кадровой работы и организация учета работников учреждения, в том числе привлечение и отбор кандидатов для работы;
- ведения воинского учета;
- ведения бухгалтерского и налогового учета;
- расчет и перечисление заработной платы, назначение и выплата пособий;
- обработка персональных данных в целях назначения пенсий;
- обеспечения личной безопасности работников,
- обеспечения сохранности имущества;
- ведения индивидуального (персонифицированного) учета застрахованных лиц;
- заполнения и передачи в государственные органы и иные уполномоченные организации требуемых форм отчетности;
- осуществления административных процедур;
- в отношении представителей контрагентов-выполнение норм Гражданского кодекса, регулирующих договорную работу, и исполнение договоров с контрагентами;
- в отношении заявителей - рассмотрение письменных, личных и через вебсайт обращений (предложений, заявлений, жалоб), заявлений граждан и подготовка ответов на них;
- выполнение иных обязанностей (полномочий), предусмотренных законодательными актами.
ГЛАВА 5
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ ОПЕРАТОРОМ
5.1. Оператор осуществляет любое действие или совокупность действий, совершаемые с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
5.2. Обработка персональных данных Оператором ведется: с использованием средств автоматизации; без использования средств автоматизации, при этом обеспечиваются поиск персональных данных и доступ к ним по определенным критериям (картотеки, списки, базы данных, журналы и другое).
5.3. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового согласия в случаях, предусмотренных законодательством Республики Беларусь.
5.4. Обработка персональных данных осуществляется путем:
- получения персональных данных в устной и письменной форме непосредственно от субъектов персональных данных;
- получения персональных данных из общедоступных источников;
- внесения персональных данных в журналы, реестры и информационные системы Оператора;
- использования иных способов обработки персональных данных.
5.5. Не допускается раскрытие третьим лицам и распространение персональных данных без согласия субъекта персональных данных, если иное не предусмотрено законодательством.
Согласие на обработку персональных данных, разрешенных субъектом персональных данных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.
5.6. Передача персональных данных органам дознания и следствия, в налоговые органы, ФСЗН и другие органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Республики Беларусь.
5.7. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
- определяет угрозы безопасности персональных данных при их обработке;
- принимает локальные нормативные акты и иные документы, регулирующие отношения в сфере обработки и защиты персональных данных;
- назначает лиц, ответственных за обеспечение безопасности персональных данных в структурных подразделениях и информационных системах Оператора;
- создает необходимые условия для работы с персональными данными;
- организует учет документов, содержащих персональные данные;
- организует работу с информационными системами, в которых обрабатываются персональные данные;
- хранит персональные данные в условиях, при которых обеспечивается их сохранность и исключается неправомерный доступ к ним;
- организует обучение работников, осуществляющих обработку персональных данных;
- знакомит работников учреждения, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Республики Беларусь и локальными правовыми актами учреждения в области персональных данных, в том числе с требованиями к защите персональных данных;
- обеспечивает неограниченный доступ к настоящей политике;
- прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством Республики Беларусь.
5.8. Оператор осуществляет хранение персональных данных не дольше, чем этого требуют цели обработки персональных данных, если иной срок хранения персональных данных не установлен законодательством Республики Беларусь или договором.
5.9. Совершает иные действия, предусмотренные законодательством Республики Беларусь.
5.10. Доступ к обрабатываемым персональным данным разрешается только работникам учреждения, включенным в перечень (реестр) должностей, имеющих доступ к персональным.
ГЛАВА 6
КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1 Оператор обрабатывает персональные данные следующих категорий субъектов:
- работники учреждения здравоохранения «Минский городской детский клинический центр по стоматологии», в том числе бывшие работники и их родственники;
- кандидатов на рабочие места, предоставивших лично или путем направления по электронной почте свои резюме или анкеты;
- студенты, иные лица, прибывшие в учреждение на практику, стажировку;
- представители контрагентов, с которыми существуют договорные отношения или с которыми учреждение намерено вступить в договорные отношения;
- заявителей - физических лиц, обратившихся письменно, лично или по средствам электронного обращения с предложением, заявлением, жалобой;
- пациенты и их законные представители;
- физические лица, состоящие в договорных и иных гражданско-правовых отношениях с учреждением.
ГЛАВА 7
СОДЕРЖАНИЕ И ОБЪЕМ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Персональные данные работников учреждения здравоохранения включают:
- фамилию, имя, отчество (а также все предыдущие фамилии);
- дату рождения;
- гражданство;
- паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, - дата выдачи, наименование органа, выдавшего документ, и др.);
- данные виз и иных документов миграционного учета;
- пол;
- сведения о регистрации по месту жительства (включая адрес, дату регистрации);
- сведения о месте пребывания;
- биометрические персональные данные;
- сведения о социальных льготах и выплатах;
- контактные данные (включая номера рабочего и (или) мобильного телефона, электронной почты и др.);
- данные о родителях, опекунах, попечителях, семейном положении, супруге, ребенке (детях);
- данные об образовании, повышении квалификации и профессиональной переподготовке, ученой степени, ученом звании;
- данные о роде занятий;
- сведения медицинского характера (в случаях, предусмотренных законодательством);
- данные об исполнении воинской обязанности;
- данные об инвалидности;
- иные данные, необходимые для исполнения взаимных прав и обязанностей.
7.2. Персональные данные родственников работников включают:
- фамилию, имя, отчество;
- дату рождения;
- гражданство;
- паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.);
- сведения о семейном положении и составе семьи с указанием фамилий, имен и отчеств членов семьи, даты рождения, места работы и/или учебы;
- сведения о регистрации по месту жительства (включая адрес, дату регистрации);
- сведения о месте фактического проживания;
- номер и серия страхового свидетельства государственного социального страхования;
- сведения медицинского характера (в случаях, предусмотренных законодательством);
- сведения о социальных льготах и выплатах;
- контактные данные (включая номера рабочего, домашнего и/или мобильного телефона, электронной почты и др.).
7.3. Персональные данные кандидатов на рабочие места включают:
- фамилию, имя, отчество (а также все предыдущие фамилии);
- дату и место рождения;
- гражданство;
- паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.);
- данные свидетельства о рождении (номер, дата выдачи, наименование органа, выдавшего документ, и др.);
- пол;
- сведения о семейном положении и составе семьи с указанием фамилий, имен и отчеств членов семьи, даты рождения, места работы и(или) учебы;
- сведения о регистрации по месту жительства (включая адрес, дату регистрации);
- сведения о месте фактического проживания;
- номер и серия страхового свидетельства государственного социального страхования;
- данные об образовании, повышении квалификации и профессиональной переподготовке, ученой степени, ученом звании;
- сведения о трудовой деятельности (включая стаж и опыт работы, данные о занятости с указанием должности, подразделения, сведений о работодателе и др.);
- специальность, профессия, квалификация;
- сведения о воинском учете;
- сведения медицинского характера (в случаях, предусмотренных законодательством);
- биометрические персональные данные (фотографии и т.д.);
- сведения о социальных льготах и выплатах;
- контактные данные (включая номера домашнего и/или мобильного телефона, электронной почты и др.);
- сведения о награждениях и поощрениях;
- сведения, предоставленные самим кандидатом в ходе заполнения личностных опросников;
- иные данные, которые могут быть указаны в резюме или анкете кандидата.
7.4. Персональные данные контрагентов - физических лиц включают:
- фамилию, имя, отчество;
- гражданство;
- паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, - дата выдачи, наименование органа, выдавшего документ, и др.);
- сведения о регистрации по месту жительства (включая адрес, дату регистрации);
- идентификационный номер налогоплательщика;
- специальность, профессию, квалификацию;
- контактные данные (включая номера домашнего и (или) мобильного телефона, электронной почты и др.);
- данные свидетельства о регистрации права собственности;
- иные данные, необходимые для исполнения взаимных прав и обязанностей между учреждением здравоохранения и контрагентом.
7.5. Персональные и иные данные пациентов включают:
- фамилию, имя, отчество;
- гражданство;
- дату рождения;
- паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.);
- сведения о регистрации по месту жительства (включая адрес, дату регистрации);
- сведения о месте фактического проживания;
- контактные данные (включая номера рабочего, домашнего и (или) мобильного телефона, электронной почты и др.);
- пол;
- медицинские данные:
- аллергологический анамнез;
- лекарственная непереносимость;
- заключительные (уточненные) диагнозы;
- лабораторные исследования, лучевые и радиологические исследования, функциональные исследования;
- оперативные вмешательства;
- диспансеризация;
- временная нетрудоспособность;
- инвалидность;
- информация, составляющая врачебную тайну (факт обращения за медицинской помощью; состояние здоровья; сведения о наличии заболеваний; диагноз; методы оказания медицинской помощи; риски, связанные с медицинским вмешательством; альтернативы предполагаемому медицинскому вмешательству.
7.6. Персональные данные иных субъектов включают:
- фамилию, имя, отчество;
- контактные данные (включая номера домашнего и (или) мобильного телефона, электронной почты и др.);
- паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.);
- сведения о регистрации по месту жительства (включая адрес, дату регистрации);
- данные об образовании, повышении квалификации и профессиональной переподготовке, ученой степени, ученом звании;
- реквизиты банковского счета;
- идентификационный номер налогоплательщика;
- специальность, профессию, квалификацию;
- иные данные, необходимые для исполнения взаимных прав и обязанностей между учреждением здравоохранения и контрагентом.
7.7. Персональные данные работников и иных представителей контрагентов - юридических лиц включают:
- фамилию, имя, отчество;
- паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.);
- сведения о регистрации по месту жительства (включая адрес, дату регистрации);
- контактные данные (включая номера рабочего, домашнего и (или) мобильного телефона, электронной почты и др.);
- должность;
- иные данные, необходимые для исполнения взаимных прав и обязанностей между учреждением здравоохранения и контрагентом.
ГЛАВА 8
ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Субъект персональных данных имеет право:
- получать информацию, касающуюся обработки его персональных данных;
- получать от Оператора информацию о предоставлении своих персональных данных третьим лицам на условиях, определенных Законом;
- в любое время без объяснения причин отозвать свое согласие посредством подачи оператору заявления в порядке, установленном статьей 14 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных», либо в форме, посредством которой получено его согласие;
- обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействие Оператора при обработке его персональных данных;
требовать от Оператора:
- изменения его персональных данных в случае, если персональные данные являются неполными или устаревшими;
- требовать от Оператора бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» и иными законодательными актами. Для реализации указанного права субъект персональных данных подает Оператору заявление в порядке, установленном Законом Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных»;
- получить любые разъяснения по интересующим вопросам, касающимся обработки его персональных данных, обратившись к Оператору;
- осуществления иных прав, предусмотренных законодательством Республики Беларусь.
8.2. Субъект персональных данных обязан:
- предоставлять Оператору достоверные данные о себе;
- сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных. Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством Республики Беларусь.
8.3. Субъект персональных данных для реализации прав, предусмотренных пунктом 8.1. Политики, подает Оператору заявление в письменной форме либо в виде электронного документа.
8.3.1. Заявление субъекта персональных данных должно содержать: фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
- дату рождения субъекта персональных данных;
- идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия оператору или обработка персональных данных осуществляется без согласия субъекта персональных данных;
- изложение сути требований субъекта персональных данных;
- личную подпись либо электронную цифровую подпись субъекта персональных данных.
8.3.2. Ответ на заявление направляется субъекту персональных данных в форме, соответствующей форме подачи заявления, если в самом заявлении не указано иное.
ГЛАВА 9
ОСНОВНЫЕ ПРАВА И ОБЯЗАННОСТИ ОПЕРАТОРА
9.1. Оператор имеет право:
- получать от субъекта персональных данных достоверные информацию и (или) документы, содержащие персональные данные;
- запрашивать у субъекта персональных данных информацию об актуальности и достоверности предоставленных персональных данных;
- в случае отзыва субъектом персональных данных согласия на обработку персональных данных продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в Законе;
- в случае необходимости для достижения целей обработки персональных данных передавать их третьим лицам с соблюдением требований законодательства;
- самостоятельно определять состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено Законом.
9.2. Оператор обязан: разъяснять субъекту персональных данных его права, связанные с обработкой персональных данных;
- получать согласие субъекта персональных данных на обработку персональных данных, за исключением случаев, предусмотренных Законом и иными законодательными актами;
- обеспечивать защиту персональных данных в процессе их обработки; предоставлять субъекту персональных данных информацию о его персональных данных, а также о предоставлении его персональных данных третьим лицам, за исключением случаев, предусмотренных Законом о защите персональных данных и иными законодательными актами;
- вносить изменения в персональные данные, которые являются неполными, устаревшими или неточными, за исключением случаев, когда иной порядок внесения изменений в персональные данные установлен законодательными актами либо если цели обработки персональных данных не предполагают последующих изменений таких данных;
- прекращать обработку персональных данных, а также осуществлять их удаление или блокирование (обеспечивать прекращение обработки персональных данных, а также их удаление или блокирование уполномоченным лицом) при отсутствии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами;
- уведомлять уполномоченный орган по защите прав субъектов персональных данных о нарушениях систем защиты персональных данных незамедлительно, но не позднее трех рабочих дней после того, как Оператору стало известно о таких нарушениях, за исключением случаев, предусмотренных уполномоченным органом по защите прав субъектов персональных данных;
- осуществлять изменение, блокирование или удаление недостоверных и/или полученных незаконным путем персональных данных субъекта персональных данных по требованию уполномоченного органа по защите прав субъектов персональных данных;
- исполнять иные требования уполномоченного органа по защите прав субъектов персональных данных об устранении нарушений законодательства о персональных данных;
- выполнять иные обязанности, предусмотренные Законом и иными законодательными актами.
ГЛАВА 10
КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА РЕСПУБЛИКИ БЕЛАРУСЬ И ЛОКАЛЬНЫХ АКТОВ УЧРЕЖДЕНИЯ ЗДРАВООХРАНЕНИЯ В ОБЛАСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ, В ТОМ ЧИСЛЕ ТРЕБОВАНИЙ К ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Контроль за соблюдением в учреждении законодательства Республики Беларусь и локальных правовых актов учреждения в области персональных данных, в том числе требований к защите персональных данных, осуществляется с целью проверки соответствия обработки персональных данных в учреждении законодательству Республики Беларусь и локальным правовым актам в области персональных данных, а также принятии мер, направленных на предотвращение и выявление нарушений законодательства Республики Беларусь в области персональных данных, выявления возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.
10.2. Внутренний контроль за соблюдением в учреждении законодательства о персональных данных и локальных правовых актов Учреждения, осуществляется лицом, ответственным за организацию обработки персональных данных в учреждении.
10.3. Персональная ответственность за соблюдение требований законодательства Республики Беларусь и локальных правовых актов учреждения в области персональных данных в учреждении, а также за обеспечение конфиденциальности и безопасности персональных данных в структурных подразделениях учреждения возлагается на соответствующих руководителей структурных подразделений.
ГЛАВА 11
ОТВЕТСТВЕННОСТЬ
11.1. Лица, виновные в нарушении Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных», несут ответственность, предусмотренную законодательными актами.
11.2. Работники и иные лица, виновные несоблюдении и нарушении настоящей Политики, а также законодательства Республики Беларусь в области персональных данных, могут быть привлечены к дисциплинарной, ответственности, административной и уголовной ответственности в порядке, предусмотренном действующим законодательством Республики Беларусь.
11.3. Дисциплинарная ответственность:
Трудовой договор с работником можно прекратить в связи с нарушением им порядка обработки персональных данных. Увольнение как мера дисциплинарного взыскания по данному основанию возможно, если работник допустил нарушение: при сборе персональных данных; их систематизации; хранении; изменении; использовании; обезличивании; блокировании; распространении; предоставлении; удалении (п. 10 ч. 1 ст. 47, п. 4 ч. 1 ст. 198 Трудового кодекса Республики Беларусь).
ГЛАВА 12
ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
12.1. Вопросы, касающиеся обработки персональных данных, не закрепленные в настоящей Политике, регулируются законодательством Республики Беларусь.
12.2. В случае если какое-либо положение Политики признается противоречащим законодательству, остальные положения остаются в силе и являются действительными, а любое недействительное положение будет считаться удаленным или измененным в той мере, в какой это необходимо для обеспечения его соответствия законодательству.
12.3. Учреждение здравоохранения «Минский городской детский клинический центр по стоматологии» имеет право по своему усмотрению изменять и (или) дополнять условия настоящей Политики без предварительного уведомления субъектов персональных данных.