Приложение 1
к приказу
от 08.07.2024 №122
Политика
государственного учреждения
«Медицинская служба гражданской авиации»
в отношении обработки персональных данных
- ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Политика государственного учреждения «Медицинская служба гражданской авиации» (далее – Оператор) в отношении обработки персональных данных (далее – Политика) является локальным правовым актом, регулирующим отношения, связанные с защитой персональных данных при их обработке у Оператора.
1.2. Настоящая Политика разработана во исполнение требований абз. 3 п. 3 ст. 17 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон о персональных данных) и в соответствии с Конституцией Республики Беларусь, Законом Республики Беларусь от 18.06.1993 № 2435-XII «О здравоохранении» (далее – Закон о здравоохранении), Постановлением Министерства здравоохранения Республики Беларусь от 07.06.2021 № 74 «О формах и порядке дачи и отзыва согласия на внесение и обработку персональных данных пациента», Постановлением Министерства здравоохранения Республики Беларусь от 28.05.2021 № 64 «Об утверждении Инструкции о порядке обезличивания персональных данных лиц, которым оказывается медицинская помощь», приказом Министерства здравоохранения Республики Беларусь от 25.05.2018 № 536 «О некоторых вопросах формирования интегрированных электронных медицинских карт в Республике Беларусь» и иными нормативными правовыми актами Республики Беларусь.
1.3. Политика разъясняет субъектам персональных данных, как и для каких целей их персональные данные собираются, используются или иным образом обрабатываются, а также отражает имеющиеся в связи с этим у субъектов персональных данных права и механизм их реализации.
1.4. Настоящая Политика опубликована в свободном доступе в глобальной информационной сети Интернет на сайте Оператора.
1.5. В настоящей политике используются термины в значениях, определенных Законом о персональных данных, Законом о здравоохранении, а также следующие термины и их определения:
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
контингент обслуживания – авиационный персонал, кандидаты на получение свидетельства авиационного персонала, абитуриенты учебных заведений гражданской авиации, иные физические лица, обратившиеся за медицинской помощью, находящиеся под медицинским наблюдением либо получающие медицинскую помощь, и (или) в отношении которых проводится медицинская экспертиза;
электронная медицинская карта контингента обслуживания – структурированная совокупность электронных медицинских документов, записей о состоянии здоровья физического лица из числа контингента обслуживания, фактах его обращения за медицинской помощью и иной информации о контингенте обслуживания в централизованной информационной системе здравоохранения;
заявитель – гражданин, обратившийся (обращающийся) за осуществлением административной процедуры;
третье лицо – гражданин, кроме заинтересованного лица, участие которого в осуществлении административной процедуры предусмотрено актами законодательства и чьи права и (или) обязанности затрагиваются административным решением.
1.6. Политика не применяется к обработке персональных данных в процессе трудовой деятельности, а также при осуществлении административных процедур в отношении работников (в том числе бывших).
1.7. Почтовый адрес Оператора: 220007, г. Минск, ул. Воронянского, 50/3-1н;
адрес в сети Интернет: http://www.aviamed.by/;
e-mail: info@aviamed.by.
2. Цели и правовые основания обработки персональных данных. Категории субъектов, чьи персональные данные обрабатываются, перечень обрабатываемых данных и срок их хранения
2.1. Оператор осуществляет обработку персональных данных в следующих целях:
2.2. Персональные данные могут быть также использованы Оператором в научных или иных исследовательских целях после обязательного обезличивания таких персональных данных.
3. Порядок и условия обработки персональных данных
3.1. Оператор осуществляет обработку только тех персональных данных, которые необходимы для выполнения заявленных целей и не допускает их избыточной обработки.
3.2. Источником получения персональных данных является непосредственно субъект персональных данных, а также лица, предоставившие персональные данные субъекта в соответствии с действующим законодательством.
Обработка персональных данных осуществляется путем:
- получения информации (документов), содержащих персональные данные, в устной и письменной форме непосредственно от субъектов персональных данных;
- получения персональных данных в ответ на запросы, направляемые Оператором в органы государственной власти, иные государственные органы, коммерческие и некоммерческие организации, физическим лицам в случаях и порядке, предусмотренных законодательством;
- получения персональных данных из общедоступных источников;
- фиксации (регистрации) персональных данных в журналах, книгах, реестрах и других учетных формах;
- внесения персональных данных в информационные системы Оператора;
- использования иных средств и способов фиксации персональных данных, получаемых в рамках осуществляемой Оператором деятельности.
3.3. Обработка персональных данных осуществляется с согласия субъектов персональных данных на обработку их персональных данных, а также без такового согласия в случаях, предусмотренных законодательством Республики Беларусь.
3.4. Согласие (отказ) физического лица из числа контингента обслуживания Оператора, а также лиц, указанных в ч. 2 ст. 18 Закона о здравоохранении (законных представителей, опекунов и т.д.), на внесение и обработку персональных данных при формировании электронной медицинской карты физического лица из числа контингента обслуживания, информационных систем, информационных ресурсов, баз (банков) данных, реестров (регистров) оформляется по форме, установленной Постановлением Министерства здравоохранения Республики Беларусь от 07.06.2021 № 74 «О формах и порядке дачи и отзыва согласия на внесение и обработку персональных данных пациента».
Согласие дается однократно при первичном посещении Оператора:
- совершеннолетним физическим лицом из числа контингента обслуживания и действует до его отзыва;
- одним из законных представителей несовершеннолетнего пациента и действует до его отзыва или достижения несовершеннолетним пациентом восемнадцатилетнего возраста или приобретения полной дееспособности.
До получения согласия указанным лицам медицинским регистратором регистратуры предоставляется в доступной для них форме полная информация о сборе, систематизации, хранении, изменении, использовании, обезличивании, блокировании, распространении, предоставлении, удалении персональных данных, информации, составляющей врачебную тайну, для целей диагностики, постановки диагноза, установления заболевания, лечения, оказания медицинской помощи, медицинской профилактики, путем ознакомления с памяткой.
3.5. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку персональных данных.
3.6. К обработке персональных данных допускаются работники Оператора, в должностные обязанности которых входит обработка персональных данных.
3.7. Оператор не осуществляет передачу персональных данных третьим лицам, за исключением случаев, предусмотренных законодательными актами.
На основании заключенных с уполномоченными лицами договоров и в целях формирования электронной медицинской карты контингента обслуживания, информационных систем, информационных ресурсов, баз (банков) данных, реестров (регистров) в здравоохранении Оператор поручает обработку персональных данных контингента обслуживания организациям, осуществляющим сопровождение программного обеспечения и информационных систем, содержащих персональные данные.
Перечень уполномоченных лиц, обрабатывающих персональные данные по поручению Оператора, содержится в приложении к настоящей Политике. Уполномоченные лица вправе хранить, блокировать доступ, ограничивать доступ, систематизировать, осуществлять резервное копирование, восстанавливать и удалять предоставленные им персональные данные.
На основании заключенного договора и в целях оказания медицинской помощи контингенту обслуживания (услуги по проведению медицинских лабораторных исследований (анализов) на содержание различного спектра показателей в пробах исследуемого биологического материала) Оператор поручает ООО «Международная лаборатория Хеликс» (г. Минск, ул. Маяковского, д. 129А корпус 2, каб. 14 (4 этаж)) обработку персональных данных (фамилия, имя, отчество, дата рождения, пол) физических лиц из числа контингента обслуживания. Перечень действий с персональными данными: использование, хранение, систематизация, изменение, удаление, блокирование предоставленных персональных данных.
3.8. Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий, в том числе:
- назначает лицо, ответственное за осуществление внутреннего контроля за обработкой персональных данных, а также лицо, ответственное за техническую защиту персональных данных, обрабатываемых у Оператора;
- принимает локальные правовые акты, регулирующие отношения в сфере обработки и защиты персональных данных;
- обеспечивает неограниченный доступ, в том числе с использованием глобальной компьютерной сети Интернет, к документам, определяющим политику Оператора в отношении обработки персональных данных;
- обеспечивает ознакомление работников Оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства о персональных данных, локальными правовыми актами, определяющими политику Оператора в отношении обработки персональных данных;
- организует обучение работников Оператора, осуществляющих обработку персональных данных, а также лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных, а также за техническую защиту персональных данных, обрабатываемых у Оператора;
- вносит изменения в должностные обязанности работников Оператора, обрабатывающих персональные данные;
- получает письменные согласия субъектов персональных данных на обработку их персональных данных, за исключением случаев, предусмотренных законодательством;
- устанавливает порядок доступа к персональным данным, в том числе обрабатываемым в информационных ресурсах (системах), содержащих персональные данные, владельцем которых является Оператор;
- осуществляет фиксацию в журнале исходящей документации и хранение информации о предоставлении персональных данных из числа контингента обслуживания третьим лицам;
- осуществляет техническую и криптографическую защиты персональных данных в порядке, установленном Оперативно-аналитическим центром при Президенте Республики Беларусь, в соответствии с классификацией информационных ресурсов (систем), содержащих персональные данные;
- при отсутствии правовых оснований для обработки, превышении срока хранения, избыточности обрабатываемых персональных данных производит их удаление, а в случае отсутствия технической возможности удаления – принимает меры по недопущению дальнейшей обработки персональных данных, включая их блокирование.
4. Права субъектов персональных данных
4.1. Субъект персональных данных имеет право:
4.1.1. на отзыв своего согласия, если для обработки персональных данных Оператор обращался к субъекту персональных данных за получением согласия. В этой связи право на отзыв согласия не может быть реализовано в случае, когда обработка осуществляется на иных правовых основаниях (например, в соответствии с требованиями законодательства либо на основании договора);
4.1.2. на получение информации, касающейся обработки своих персональных данных, содержащей:
место нахождения Оператора;
подтверждение факта обработки персональных данных обратившегося лица Оператором;
персональные данные и источник их получения;
правовые основания и цели обработки персональных данных;
срок, на который дано согласие (если обработка персональных данных осуществляется на основании согласия);
наименование и место нахождения уполномоченного лица (уполномоченных лиц);
иную информацию, предусмотренную законодательством;
4.1.3. требовать от Оператора внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными. В этих целях субъект персональных данных прилагает соответствующие документы и (или) их заверенные в установленном порядке копии, подтверждающие необходимость внесения изменений в персональные данные;
4.1.4. на получение от Оператора информации о предоставлении своих персональных данных, обрабатываемых Оператором, третьим лицам. Такое право может быть реализовано один раз в календарный год, а предоставление соответствующей информации осуществляется бесплатно;
4.1.5. требовать от Оператора бесплатного прекращения обработки своих персональных данных, включая их удаление, при отсутствии оснований для обработки персональных данных, предусмотренных Законом о персональных данных и иными законодательными актами;
4.1.6. обжаловать действия (бездействие) и решения Оператора, нарушающие его права при обработке персональных данных, в Национальный центр защиты персональных данных
в порядке, установленном законодательством об обращениях граждан
и юридических лиц.
4.2. Для реализации своих прав, связанных с обработкой персональных данных Оператором, субъект персональных данных подает Оператору заявление в письменной форме по почтовому адресу, указанному в пункте 1.7 настоящей Политики, либо в виде электронного документа, удостоверенного электронной цифровой подписью, а в случае реализации права на отзыв согласия – в форме, в которой такое согласие было получено. Такое заявление должно содержать:
фамилию, собственное имя, отчество (если таковое имеется) субъекта персональных данных, адрес его места жительства (места пребывания);
дату рождения субъекта персональных данных;
изложение сути требований субъекта персональных данных;
идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия или обработка персональных данных осуществляется без согласия субъекта персональных данных;
личную подпись (для заявления в письменной форме) либо электронную цифровую подпись (для заявления в виде электронного документа) субъекта персональных данных.
Оператор не рассматривает заявления субъектов персональных данных, направленные иными способами (устно по телефону, факс и т.п.).
Заявление физического лица из числа контингента обслуживания, а также лиц, указанных в ч. 2 ст. 18 Закона о здравоохранении (законных представителей, опекунов и т.д.), на отзыв согласия на обработку персональных данных при формировании электронной медицинской физического лиц из числа контингента обслуживания оформляется по форме, установленной Постановлением Министерства здравоохранения Республики Беларусь от 07.06.2021 № 74 «О формах и порядке дачи и отзыва согласия на внесение и обработку персональных данных пациента».
4.3. За содействием в реализации прав субъект персональных данных может также обратиться к лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных у Оператора (ведущий юрисконсульт), направив сообщение на электронный адрес: urist@aviamed.by.
5. ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА персональных данных
5.1. Оператор осуществляет трансграничную передачу персональных данных контингента обслуживания медицинским организациям для целей оказания медицинской помощи в иностранном государстве.
5.2. Трансграничная передача персональных данных на территорию иностранного государства может осуществляться Оператором, если:
5.2.1. на территории иностранного государства обеспечивается надлежащий уровень защиты прав субъектов персональных данных[1] – без ограничений:
для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
в случаях, когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;
5.2.2. на территории иностранного государства не обеспечивается надлежащий уровень защиты прав субъектов персональных данных – в случаях, когда:
дано согласие субъекта персональных данных при условии, что субъект персональных данных проинформирован о рисках, возникающих в связи с отсутствием надлежащего уровня их защиты;
такая передача необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
обработка персональных данных осуществляется в рамках исполнения международных договоров Республики Беларусь;
обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами.