Рекомендації МОЗ від 04.05.2012 р. №11-02-09/10–63

МІНІСТЕРСТВО ОХОРОНИ ЗДОРОВ’Я УКРАЇНИ
від 04.05.2012 р. №11-02-09/10–63

Міністру охорони здоров’я АР Крим, начальникам управлінь (головних управлінь)

охорони здоров’я обласних (Київської та Севастопольської міських) державних адміністрацій,

Головним державним санітарним лікарям АР Крим, областей,

міст Києва та Севастополя, на водному, залізничному,

повітряному транспорті, об’єктів з особливим режимом роботи

Керівникам закладів, підпорядкованих

МОЗ України

Направляємо для керівництва в роботі рекомендації щодо подальшого приведення обробки персональних даних у закладах охорони здоров’я (освіти) галузі у відповідність до вимог Закону “Про захист персональних даних”, зокрема, розробки Положення про порядок обробки баз персональних даних »Працівники«.

До рекомендацій додані зразки наступних документів:

• згода працівника на обробку його персональних даних,
• повідомлення працівника про права у сфері захисту персональних даних,
• журнал з реєстрації документів з питань обробки персональних даних,
• зобов’язання про нерозголошення персональних даних,
• журнал реєстрації зобов’язань про нерозголошення персональних даних.

Просимо довести дані рекомендації до всіх закладів охорони здоров’я (освіти) сфери управління УОЗ ОДА, підпорядкованих обласним (міським) СЕС, забезпечити термінове ознайомлення всіх зацікавлених осіб та виконання вимог зазначеного Закону та наказу Міністерства юстиції від 30.12.2011 № 3659/5 »Про затвердження Типового порядку обробки персональних даних у базах персональних даних«.

Інформація розміщена на сайті Міністерства охорони здоров’я України (розділ «Публічна інформація» → «Тематичний каталог» → «Кадрові питання»).

Міністерство охорони здоров’я України

Департамент кадрової політики, освіти, науки та запобігання корупції

Державне підприємство

«Реєстр медичних, фармацевтичних та науково-педагогічних працівників системи МОЗ України»

Державна служба України з питань
захисту персональних даних

РЕКОМЕНДАЦІЇ
щодо

• розробки у закладах охорони здоров’я (освіти) галузі Положення про порядок обробки баз персональних даних «Працівники»,
• розробки зразків документів:

– згоди працівника на обробку його персональних даних,

– повідомлення працівника про права у сфері захисту персональних даних,

– журналу з реєстрації документів з питань обробки персональних даних,

– зобов’язання про нерозголошення персональних даних,

– журналу реєстрації зобов’язань про нерозголошення персональних даних.

На виконання вимог частини десятої статті 6 Закону України «Про захист персональних даних» від 01.06.2010 № 2297-VI (далі — Закон) наказом Міністерства юстиції від 30.12.2011 № 3659/5 затверджено Типовий порядок обробки персональних даних у базах персональних даних (далі — Типовий порядок).

Типовий порядок встановлює загальні вимоги до організаційних та технічних заходів захисту персональних даних під час їх обробки у базах персональних даних володільцями та розпорядниками баз персональних даних.

Управлінська діяльність у будь-якому закладі охорони здоров’я (далі — заклад) регламентується за допомогою організаційно-розпорядчих документів, насамперед, локальних нормативних актів.

На виконання вимог Типового порядку у кожному закладі має бути розроблений локальний нормативний акт, що регулюватиме порядок обробки та захисту персональних даних фізичних осіб, наприклад, Положення про порядок обробки персональних даних у базах персональних даних закладу (далі — Положення).

Зважаючи, що у кожному закладі, як правило, обробляється декілька баз персональних даних, у Положенні може бути викладено загальний порядок обробки усіх баз персональних даних закладу (з конкретизацією щодо порядку (особливостей) обробки по кожній з баз). У такому разі дія такого Положення поширюватиметься на всі бази персональних даних закладу.

Разом з тим, Положення може бути розроблено і по кожній з баз персональних даних окремо, наприклад:

• Положення про порядок обробки та захисту бази персональних даних «Працівники»;
• Положення про порядок обробки та захисту бази персональних даних «Пацієнти»,
• Положення про порядок обробки та захисту бази персональних даних «Контрагенти»,
• у вищих медичних навчальних закладах — Положення про порядок обробки та захисту бази персональних даних «Студенти» та ін.

У разі розроблення окремих локальних актів для різних баз персональних даних, певні розділи Положення мають бути продубльовані у положеннях по окремим базам (наприклад, інформація щодо особи, відповідальної за організацію роботи, пов’язаної із захистом персональних даних у закладі).

Структура
Положення про порядок обробки та захисту персональних даних

1.8 У Положенні володілець бази персональних даних з урахуванням вимог Закону та пункту 1.8 Типового порядку, визначає:

• мету обробки баз персональних даних, їх місцезнаходження;
• способи обробки персональних даних (в автоматизованій системі та/або у формі картотек);
• склад персональних даних, що обробляються відповідно до встановленої мети;
• розпорядників (за їх наявності) та третіх осіб по кожній з баз персональних даних у контексті Закону;
• питання організації роботи щодо захисту персональних даних у закладі, зокрема:

– обов’язки та права особи, відповідальної за організацію роботи, пов’язаної із захистом персональних даних у закладі;

– перелік посад, виконання професійних обов’язків за якими пов’язано із обробкою баз персональних даних, порядок та ступінь їх доступу до баз персональних даних (право внесення даних, редагування інформації, перегляду),

– обов’язки та права керівника структурного підрозділу, у якому провадиться обробка персональних даних, щодо забезпечення вимог Закону,

– обов’язки та права керівника загального (іншого) структурного підрозділу, у якому використовуються персональні дані, щодо забезпечення вимог Закону (наприклад, у клінічних відділеннях провадиться заповнення та ведення облікових медичних форм, зокрема, історій хвороб, які містять персональні дані, тож необхідно забезпечити захист цих персональних даних),

– обов’язки та права осіб, що обробляють персональні дані, щодо забезпечення вимог Закону;

– порядок отримання згоди фізичних осіб на обробку їх персональних даних,

– порядок повідомлення фізичних осіб про обробку їх персональних даних, їх права у сфері захисту персональних даних, осіб, яким передаються дані;

– порядок розгляду вимоги суб’єкта персональних даних щодо заперечення проти обробки його персональних даних,

– перелік третіх осіб, яким передаються персональні дані працівників (бажано з посиланням на нормативно-правові акти),

– порядок доступу третіх осіб до персональних даних,

• порядок обробки персональних даних у базі/базах персональних даних закладу (з урахуванням вимог статей 10-15 Закону):

– збирання,

– накопичення,

– періодичність поновлення (обов’язково слід передбачити порядок поновлення інформації і відповідальність суб’єкта персональних даних за своєчасне надання достовірної інформації),

– зберігання,

– використання,

– поширення,

– знеособлення,

– знищення,

• порядок захисту персональних даних, у т.ч. від незаконної обробки та незаконного доступу до них.

Обробка автоматизованих баз даних медичних, фармацевтичних та науково-педагогічних працівників закладів охорони здоров’я сфери управління УОЗ ОДА проводиться, у порядку, визначеному Положенням про автоматизовану базу даних території, затвердженого відповідним наказом управління охорони здоров’я. Нагадуємо, що відповідно до пункту 3 статті 4 Закону, розпорядником бази персональних даних, володільцем якої є орган державної влади чи орган місцевого самоврядування, крім цих органів, може бути лише підприємство державної або комунальної форми власності, що належить до сфери управління цього органу.

Як правило, обробка автоматизованих баз даних закладів охорони здоров’я території проводиться відповідними центрами статистики, або іншими визначеними Положенням про автоматизовану базу даних території закладами, які є розпорядниками зазначених баз персональних даних. Необхідно зазначити, що розпорядники також повинні розробити Положення, але при його розробці враховувати лише ті етапи робіт, що фактично виконуються розпорядником.

Крім того, звертаємо увагу, що згідно з пунктом 2 статті 11 Закону, володілець бази персональних даних може доручити обробку персональних даних розпоряднику бази персональних даних лише відповідно до договору в письмовій формі.

Мета обробки персональних даних визначається володільцем бази персональних даних і не може бути змінена розпорядником.

Згода фізичної особи як підстава для обробки персональних даних

Окрему увагу при розробленні Положення доцільно приділити підставам для обробки персональних даних.

Відповідно до частини п’ятої статті 6 Закону обробка персональних даних здійснюється:

• за згодою суб’єкта персональних даних,
• або у випадках, передбачених законами України, у порядку, встановленому законодавством.

Згідно зі статтею 2 Закону згодою суб’єкта персональних даних є будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки.

Необхідно зауважити, що у разі зміни мети обробки бази персональних даних, складу персональних даних та переліку третіх осіб, яким будуть надаватися персональні дані працівника, від працівника необхідно отримати нову згоду.

Наприклад, працівник надав згоду для обробки певного переліку його персональних даних з метою забезпечення реалізації трудових, адміністративно-правових, податкових відносин. Наразі у закладі запроваджується картковий зарплатний проект, деякі персональні дані працівника передаватимуться банківській установі. По відношенню до закладу (тобто до володільця бази персональних даних «Працівники») банківська установа буде третьою особою у контексті Закону. Таким чином, перелік третіх осіб, яким передаються дані, змінився. У такому випадку, відповідно до пункту 1 статті 6 Закону, суб’єктом персональних даних повинна бути надана додаткова згода на обробку його персональних даних.

Зверніть увагу! При укладенні договору із банківською установою на ведення зарплатного проекту банк повинен гарантувати захист персональних даних працівників закладу. В іншому разі, договір укладатися не може.

Обробка даних про фізичну особу без її згоди не допускається, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини. У цьому випадку під «законом» розуміються усі закони України, які надають право на обробку персональних даних із зазначенням чіткого переліку таких даних.

Закон також дозволяє обробляти персональні дані без згоди суб’єкта персональних даних, якщо обробка персональних даних є необхідною для захисту його життєво важливих інтересів (наприклад хворий у стані непритомності). У такому разі обробляти персональні дані без згоди суб’єкта персональних даних можна до часу, коли отримання згоди стане можливим.

Згідно з вимогами Закону згода суб’єкта персональних даних на обробку персональних даних повинна містити інформацію щодо:

– мети, яка визначається володільцем бази персональних даних залежно від виду його діяльності, при провадженні якої виникає необхідність в обробці персональних даних у базах персональних даних, конкретних цілей обробки персональних даних, для досягнення яких володілець бази персональних даних обробляє персональні дані у певній базі (ст. 2 Закону).

– обсягу персональних даних, а саме чіткого переліку персональних даних фізичної особи, які обробляються володільцем бази персональних даних у певній базі (ст. 6 Закону);

– порядку використання персональних даних, який передбачає дії володільця бази щодо обробки цих даних, у т. ч. використання персональних даних працівниками володільця бази, відповідно до їхніх професійних чи службових або трудових обов’язків, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб’єктам відносин, пов’язаних із персональними даними (розпорядникам) (ст. 10 Закону);

– порядку поширення персональних даних, який передбачає дії володільця бази персональних даних щодо передачі відомостей про фізичну особу з бази персональних даних (ст. 14 Закону);

– порядку доступу до персональних даних третіх осіб, який визначає дії володільця бази персональних даних у разі отримання запиту від третьої особи щодо доступу до персональних даних, у т. ч. порядку доступу суб’єкта персональних даних до відомостей про себе (ст. 16 Закону).

Закон висуває лише загальні вимоги до змісту згоди на обробку персональних даних, форму цього документа заклад визначає самостійно. У закладі можуть бути розроблені трафаретні форми згоди для різних категорій суб’єктів персональних даних. Але головне, що згода має бути усвідомленою — будь-яка людина, необізнана у юридичних питаннях, повинна розуміти, з чим і навіщо вона погоджується.

При розробленні трафаретної форми згоди працівника закладу на обробку персональних даних доцільно передбачити графи для таких відомостей, як прізвище, ім’я, по батькові, назва структурного підрозділу, посада. Це сприятиме однозначній ідентифікації фізичної особи.

У трафаретній формі згоди має бути зазначена і мета обробки персональних даних, при цьому вона має відповідати цілям обробки даних, вказаним у розділі ІІІ заяви про реєстрацію бази персональних даних.

Зважаючи, що персональні дані, відповідно до пункту 2 статті 6 Закону мають бути точними, достовірними, у разі необхідності оновлюватися, вважаємо за необхідне передбачити у Положенні відповідальність працівників закладу за своєчасне повідомлення про зміну своїх персональних даних, а для працівників кадрової та планово-економічної (бухгалтерської) служб — за достовірне внесення змін до бази персональних даних.

У більшості закладів галузі бухгалтерський та кадровий облік працівників об’єднаний в одну базу персональних даних «Працівники». Тобто, працівники відділів кадрів та планово-економічної (бухгалтерської) служби мають доступ до персональних даних працівників закладу, обробляють ці дані. Відповідно до пункту 3 статті 10 Закону використання персональних даних працівниками суб’єктів відносин, пов’язаних з персональними даними, повинно здійснюватися лише відповідно до їхніх професійних чи службових або трудових обов’язків. Ці працівники зобов’язані не допускати розголошення у будь-який спосіб персональних даних, які їм були довірено або які стали відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків. Таким чином, працівники кожної з цих служб в рівній мірі повинні надати зобов’язання щодо нерозголошення персональних даних.

Заклади галузі ведуть облік кадрів з використанням інформаційно-аналітичної системи «Облік медичних кадрів України», яка може використовуватися працівниками відділу кадрів закладу, а також працівниками планово-економічного відділу, бухгалтерії (особливо при використанні додаткових функцій програми, таких як «Тарифікація», «Розрахунок стажу», «Накази»). Крім того, працівники планово-економічної (бухгалтерської) служби можуть використовувати й інші автоматизовані системи, наприклад, 1С, «Парус» та ін.

У Положенні необхідно указати повний перелік персональних даних працівників, що використовується при обробці бази персональних даних «Працівники» як працівниками кадрової, так і планово-економічної (бухгалтерської) служб, навести перелік автоматизованих систем, що використовується кожною із служб, указати місцезнаходження окремих складових цієї бази даних, навести розмежування функцій, прав доступу до певних видів документів, інформації та автоматизованих систем працівників цих служб.

Окрему увагу необхідно приділити відображенню організації роботи з обробки запитів щодо доступу до персональних даних суб’єктів відносин, пов’язаних із обробкою персональних даних (статті 16-18 Закону, абзац 3 пункту 1.9 Типового порядку).

Суб’єктами відносин, пов’язаних із обробкою персональних даних відповідно до Закону є:

• володілець бази персональних даних,
• суб’єкт персональних даних,
• розпорядник бази персональних даних,
• треті особи.

Третіми особами, крім визначених законодавством, можуть бути будь-які юридичні або фізичні особи, що звертаються до володільця із запитом щодо доступу до персональних даних працівників Закладу.

Зважаючи на вищевикладене, кожний заклад має детально проаналізувати і встановити у закладі порядок надання персональних даних суб’єктам відносин, пов’язаних з персональними даними, при отриманні від них запиту в установленому пунктами 3, 4 статті 16 Закону порядку. При цьому реєстрація цих запитів має проводиться у встановленому у закладі порядку.

Визначення умов і строків зберігання персональних даних, порядку їх знищення

У Положенні мають бути відображені й умови, строки зберігання і порядок знищення персональних даних.

Порядок умов зберігання різних видів документів передбачено відповідними нормативно-правовими актами, що регламентують їх створення, ведення та зберігання, наприклад, Інструкція про порядок ведення трудових книжок працівників (затверджена наказом Мінпраці, Мін’юсту, Мінсоцзахисту України від 29.07.1993 № 58), Правила роботи архівних підрозділів органів державної влади, місцевого самоврядування, підприємств, установ, організацій (затверджені наказом Державного комітету архівів України від 16.03.2001 № 16, зареєстрованим у Мін’юсті 08.05.2001 за № 407/5598).

Строки зберігання персональних даних в організаційно-розпорядчих, бухгалтерських документах, первинних облікових документах, особових справах у закладах охорони здоров’я визначаються на законодавчому рівні відповідними нормативно-правовими актами:

наказ Головного архівного управління при Кабінеті Міністрів України від 20.07.1998 № 41, яким затверджено Перелік типових документів, що утворюється в діяльності органів державної влади та місцевого самоврядування, інших підприємств, установ та організацій, зі строками зберігання документів,

інші переліки документів, що встановлюють строки зберігання, затверджені органами центральної влади.

На рівні закладу строки зберігання документів визначаються номенклатурою справ закладу, що розробляється на підставі вказаних переліків. При цьому експертною комісією закладу можуть бути встановлені і більші строки зберігання для певних видів документів.

У закладах охорони здоров’я лише в окремих випадках, коло яких дуже обмежено, строки зберігання персональних даних можуть визначатися і згодою суб’єкта персональних даних (наприклад при запровадженні медичного страхування працівник закладу може обмежити строк використання своїх персональних даних страховою компанією тільки на час правовідносин між закладом (який є володільцем бази персональних даних «Працівники») і працівником).

Пунктом 1.7 Типового положення передбачено, що володілець бази персональних даних зберігає персональні дані у строк не більше, ніж це необхідно відповідно до мети їх обробки, якщо інше не передбачено законодавством.

Згідно зі статтею 15 Закону персональні дані у базах персональних даних знищуються у порядку, встановленому відповідно до вимог закону.

Відповідно до підпункту 1 пункту 2 статті 15 Закону персональні дані в базах персональних даних підлягають знищенню у разі закінчення строку зберігання даних, визначеного згодою суб’єкта персональних даних на обробку цих даних або законом.

Згідно з підпунктом 3 пункту 2 статті 15 Закону ще однією підставою для знищення персональних даних у певній базі є набрання законної сили рішенням суду щодо вилучення даних про фізичну особу з бази персональних даних.

За допомогою інформаційно-аналітичної системи «Облік медичних кадрів України» закладами, територіальними органами управління охороною здоров’я, Міністерством охорони здоров’я України проводиться аналіз багатьох показників з кадрового менеджменту, у тому числі, розрахунок плинності кадрів. Зважаючи на важливість зазначеного показника для розрахунку потреби в медичних кадрах, для можливості його подальшого обрахування на рівні держави, необхідно передбачити у Положенні термін зберігання карток звільнених працівників у системі «Облік медичних України» протягом року після звільнення, про що зазначити у згоді працівника на обробку його персональних даних. Порядок вилучення карток звільнених працівників з інформаційно-аналітичної системи «Облік медичних кадрів України» докладно описаний у Методичних рекомендаціях № 8, розроблених Державним підприємством «Реєстр медичних, фармацевтичних та науково-педагогічних працівників системи МОЗ України» (див. лист МОЗ України від 31.05.2010 № 11-02-09/267).

Положення в обов’язковому порядку затверджується наказом керівника Закладу, доводиться до відома зацікавлених осіб та працівників. Доцільно розташування Положення у доступному для ознайомлення працівників місці.

У Положенні необхідно визначити порядок захисту персональних даних в автоматизованих системах і картотеках. При визначенні особливостей захисту персональних даних в автоматизованих системах слід брати до уваги положення Закону України «Про захист інформації в автоматизованих системах» від 05.07.1994 № 80/94-ВР.

Зважаючи, що кожний заклад має свою специфіку роботи, обліку працівників, Положення по конкретному закладу може бути розроблено лише після детального аналізу порядку обробки персональних даних у закладі.

Примірне Положення
про порядок обробки та захисту персональних даних у базі персональних даних «Працівники» державного та комунального закладу охорони здоров’я

І. Загальні положення

1.1. Положення про порядок обробки та захист персональних даних працівників у базі персональних даних «Працівники» (далі — Положення) визначає комплекс організаційних та технічних заходів для забезпечення захисту персональних даних працівників (назва закладу охорони здоров’я) (далі — Заклад) від несанкціонованого доступу, витоку інформації, неправомірного використання або втрати під час обробки.

1.2. Положення розроблено на підставі Закону України «Про захист персональних даних» від 01.06.2010 № 2297-VI (далі — Закон) та Типового порядку обробки персональних даних у базах персональних даних, затвердженого наказом Міністерства юстиції України від 30.12.2011 № 3659/5, зареєстрованим у Мін’юсті 03.01.2012 за № 1/20314 (далі — Типовий порядок).

1.3. Положення є обов’язковим для виконання працівниками Закладу, які мають доступ до персональних даних та обробляють персональні дані.

1.4. Усі терміни у цьому Положенні визначаються відповідно до Закону та Типового порядку.

1.5. До персональних даних працівника належать будь-які відомості чи сукупність відомостей про працівника, за якими він ідентифікується чи може бути конкретно ідентифікованим.

1.6. Персональні дані працівників є інформацією з обмеженим доступом.

1.7. Персональні дані працівників Закладу обробляються у базі персональних даних «Працівники», володільцем якої є Заклад.

1.8. Для бази персональних даних «Працівники» розпорядники відсутні. Працівники Закладу не є розпорядниками зазначеної бази персональних даних.

1.9 База персональних даних «Працівники» реєструється у Державному реєстрі баз персональних даних (далі — Державний реєстр), при цьому Заклад повідомляє Державну службу України з питань захисту персональних даних про кожну зміну відомостей, необхідних для реєстрації бази персональних даних «Працівники», не пізніше ніж протягом десяти робочих днів з дня настання такої зміни шляхом подання заяви про внесення змін до відомостей Державного реєстру (за формами та у порядку, визначеними наказом Міністерства юстиції від 08.07.2011 № 1824/5 «Про затвердження форм заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних і порядку їх подання»).

1.10. Під обробкою персональних даних працівників розуміється будь-яка дія або сукупність дій, здійснюваних повністю або частково у будь-якій автоматизованій системі та/або в картотеках персональних даних, які пов’язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, відновленням, використанням та поширенням, знеособленням, знищенням відомостей про працівників Закладу.

1.11. База персональних даних «Працівники» розміщена у відділі кадрів, планово-економічному відділі та бухгалтерії Закладу.

1.12. Персональні дані у базі персональних даних «Працівники» обробляються на паперових носіях та за допомогою автоматизованих систем.

1.13. У відділі кадрів персональні дані працівників обробляються:

• на паперових носіях у картотеках (у картотеці особових карток (типова форма № П-2), картотеці військового обліку, в особових справах, трудових книжках та в інших документах (указати в яких конкретно), що містять персональні дані працівників, у т. ч., організаційно-розпорядчих документах, звітних та облікових формах),
• в автоматизованій системі «Облік медичних кадрів України».

1.14. У планово-економічному відділі персональні дані працівників

обробляються:

• на паперових носіях: у картотеках (при наявності), організаційно-розпорядчі документи, бухгалтерські документи, звітні та облікові форми — указати конкретно які,
• в автоматизованій системі (указати в якій).

1.15. У бухгалтерії персональні дані працівників обробляються:

• на паперових носіях: у картотеках (при наявності), організаційно-розпорядчі документи, звітні та облікові форми — указати конкретно які,
• в автоматизованій системі (указати в якій при її наявності).

1.16. Для бази персональних даних «Працівники» третіми особами є:

• державні органи, яким персональні дані працівників передаються відповідно до законодавства (Пенсійний фонд, податкова інспекція, військові комісаріати, центри зайнятості та ін., указати конкретно),
• районний (міський) відділ охорони здоров’я, управління охорони здоров’я обласної (міської) державної адміністрації, Державне підприємство «Реєстр медичних, фармацевтичних та науково-педагогічних працівників системи МОЗ України» або визначений заклад охорони здоров’я, якому відповідно до Положення про автоматизовану базу даних території (закладу) надано право формування автоматизованої бази даних певної території (Центральної бази даних для закладів, підпорядкованих безпосередньо МОЗ України) у відповідності до наказу МОЗ України від 19.12.2006 №842 «Про формування автоматизованої бази даних медичних, фармацевтичних та науково-педагогічних працівників сфери управління МОЗ України» (див. Приклад визначення володільця, розпорядників, третіх осіб…, наданих листом Міністерства від 01.12.2011 №11-02-09/10-299 у методичних рекомендаціях щодо приведення обробки персональних даних у закладах охорони здоров’я (освіти) галузі у відповідність до вимог Закону України «Про захист персональних даних»),
• банківська установа, що надає послуги Закладу у рамках карткового зарплатного проекту (при наявності).

ІІ. Мета обробки персональних даних

2.1. Обробка персональних даних у базі персональних даних «Працівники» проводиться з метою забезпечення реалізації:

• трудових, соціально-трудових відносин, відносин у сфері управління персоналом, військового обліку (відповідно до Кодексу законів про працю України, Законів України «Про професійні спілки, їх права та гарантії діяльності», «Про військовий обов’язок та військову службу», «Про охорону праці», колективного договору Закладу);
• адміністративно-правових відносин (відповідно до Господарського кодексу України, Цивільного кодексу України, згідно зі статутом Закладу),
• відносин у сфері бухгалтерського і податкового обліку (відповідно до Податкового кодексу України, Законів України «Про бухгалтерський облік та фінансову звітність в Україні», «Про оплату праці»).

2.2. Обробка персональних даних працівників є необхідною для:

• ведення кадрового діловодства;
• підготовки визначеної законодавством статистичної та іншої звітності;
• отримання аналітичної та прогнозної інформації з кадрового менеджменту;
• документального забезпечення визначених у пункті 2.1 відносин, у т. ч. прав та обов’язків працівників та роботодавця у сфері праці та соціального захисту.

ІІІ. Склад персональних даних у базі персональних даних «Працівники»

3.1. Відповідно до визначеної мети обробки, нормативно-правових актів, потреб

управлінської діяльності Закладу у базі персональних даних «Працівники» обробляються:

• персональні дані, необхідність обробки яких передбачена Законами України:

• прізвище, ім’я, по батькові;

• дата і місце народження;

• паспортні дані;

• ідентифікаційний номер (номер облікової картки платника податків);

• відомості з військового квитка (приписного свідоцтва) (для військовозобов’язаних та осіб призовного віку), в обсязі, необхідному для ведення військового обліку;

• відомості про трудову діяльність, що містяться у трудовій книжці;

• інші персональні дані, необхідність обробки яких визначена галузевими нормативно-правовими актами, пов’язана з кваліфікаційними вимогами до посади та/або специфікою діяльності Закладу:

• відомості про освіту, наявність спеціальних знань або підготовки (за потреби, залежно від кваліфікаційних вимог до посади);

• відомості про наявність кваліфікаційної категорії (розряду, класу тощо);

• відомості про стан здоров’я (обробляються відповідно до статті 24 Кодексу законів про працю України в обсязі, необхідному для реалізації трудових відносин та для забезпечення вимог законодавства у сфері охорони праці);

• біографічні дані;

• відомості про ділові та особисті якості, зокрема, вказані у поданому при працевлаштуванні резюме (у т. ч. щодо рис характеру, особистих захоплень, звичок) при наявності;

• відомості про родинний стан, членів родини в обсязі, необхідному для реалізації трудових відносин;

• відомості про фактичне місце проживання, номери телефонів;

• відомості про членство у професійних спілках;

• відомості, що підтверджують право на пільги та компенсації відповідно до законодавства (встановлення інвалідності, належність до категорії постраждалих від аварії на ЧАЕС, отримання пенсії за віком, статус одинокої матері, опікуна, піклувальника, усиновлення дитини тощо);

• резюме кандидатів на вакантні посади;

• дані осіб, що проходять стажування (в органах управління охороною здоров’я);

• дані осіб, що проходять у закладі виробничу практику (студентів медичних та фармацевтичних вищих навчальних закладів I-IV рівнів акредитації);

• дані осіб, що допущені до проходження заочної частини інтернатури за контрактом;

• відомості, що містяться у Декларації про майно, доходи, витрати і зобов’язання фінансового характеру (Додаток до Закону України «Про засади запобігання і протидії корупції»).

• фото– та відеозображення;

3.2. У Закладі не обробляються відомості про расове або етнічне походження працівників, їх політичні, релігійні або світоглядні переконання, членство в політичних партіях, відомості, що стосуються статевого життя.

IV. Обов’язки та права особи, відповідальної за організацію роботи, пов’язаної із захистом персональних даних у Закладі

4.1. Наказом керівника Закладу, з урахуванням вимог статті 24 Закону, призначається особа, відповідальна за організацію роботи, пов’язаної із захистом персональних даних у Закладі (далі — Відповідальна особа). Наказ доводиться до відома Відповідальної особи під підпис.

4.2. Відповідальна особа:

4.2.1. Забезпечує:

• організацію обробки персональних даних у структурних підрозділах Закладу відповідно до положень про ці підрозділи в обсязі, необхідному для виконання їх функцій;
• аналіз процесів обробки персональних даних відповідно до основних завдань та функцій Закладу, у т.ч. визначення мети, з якою обробляються персональні дані, правових підстав для обробки персональних даних, відповідності та ненадмірності персональних даних згідно з визначеною метою їх обробки, визначення третіх осіб, та приведення переліку персональних даних у відповідність до визначеної мети та правових підстав їх обробки;
• визначення баз персональних даних, що підлягають державній реєстрації;
• подання заяв про державну реєстрацію баз персональних даних, внесення змін до відомостей Державного реєстру баз персональних даних (за необхідності);
• ознайомлення керівників структурних підрозділів та працівників Закладу з вимогами законодавства про захист персональних даних та змінами до нього, зокрема щодо зобов’язання не допускати розголошення у будь-який спосіб персональних даних, які було довірено або які стали відомі у зв’язку з виконанням посадових обов’язків;
• організацію обробки запитів щодо доступу до персональних даних суб’єктів відносин, пов’язаних з обробкою персональних даних.

4.2.2. Сприяє доступу суб’єктів персональних даних до власних персональних даних.

4.2.3. За необхідності готує проекти змін та доповнень до цього Положення, подає зазначені проекти на розгляд керівнику Закладу.

4.2.4. Погоджує проекти положень про структурні підрозділи, працівниками яких обробляються або використовуються персональні дані, та посадових інструкцій працівників, які обробляють персональні дані або мають доступ до них. За необхідності ініціює внесення необхідних змін та доповнень до положень про структурні підрозділи та посадових інструкцій щодо приведення їх до вимог Закону;

4.2.5. Інформує керівника Закладу про заходи, яких необхідно вжити для приведення складу персональних даних та процедур їх обробки у відповідність до Закону.

4.2.6. Інформує керівника Закладу про порушення встановлених процедур обробки персональних даних

4.2.7. Фіксує факти порушень режиму захисту персональних даних у порядку, визначеному розділом VII цього Положення.

4.3. Відповідальна особа має право:

4.3.1. Перевіряти стан дотримання працівниками Закладу законодавства у сфері захисту персональних даних та виконання вимог цього Положення, брати участь у службових розслідуваннях з питань порушень порядку обробки та захисту персональних даних

4.3.2. Вносити керівнику Закладу пропозиції про розмежування режиму та прав доступу працівників до обробки персональних даних відповідно до їх посадових обов’язків.

4.3.3. Розглядати вимоги працівників щодо заперечення проти обробки їх персональних даних.

V. Права та обов’язки працівника як суб’єкта персональних даних

Працівник Закладу як фізична особа, щодо якої здійснюється обробка її персональних даних, відповідно до Закону:

5.1. Є суб’єктом персональних даних.

5.2. Має право:

– знати про місцезнаходження та призначення бази персональних даних «Працівники», мету обробки даних у базі персональних даних «Працівники»;

– отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються персональні дані, що містяться у базі персональних даних «Працівники».

– на доступ до своїх персональних даних, що містяться у базі персональних даних «Працівники», відповідно до статті 16 «Порядок доступу до персональних даних» Закону;

– отримувати не пізніш як за 30 календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи зберігаються його персональні дані у базі персональних даних «Працівники», а також отримувати зміст його персональних даних, які зберігаються;

– пред’являти вмотивовану вимогу із запереченням проти обробки своїх персональних даних органами державної влади, органами місцевого самоврядування при здійсненні їхніх повноважень, передбачених законом;

– пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних Закладом, якщо ці дані обробляються незаконно чи є недостовірними;

– на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;

– звертатися з питань захисту своїх прав щодо персональних даних до органів державної влади, органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних;

– застосовувати засоби правового захисту у разі порушення законодавства про захист персональних даних.

5.3. Зобов’язаний повідомляти Закладу про зміну своїх персональних даних, що підлягають обробці у базі персональних даних «Працівники», у порядку, визначеному у пункті 7.1.5 цього Положення.

5.4. У разі виникнення у працівника вмотивованої вимоги із запереченням проти обробки своїх персональних даних органами державної влади, органами місцевого самоврядування при здійсненні їхніх повноважень, передбачених Законом (у відповідності до пункту 5 статті 8 Закону),він подаєвідповідну заяву відповідному органу із запереченням проти обробки своїх персональних даних, з обов’язковим зазначенням конкретного переліку порушень, з якими на його думку цими органами здійснюється обробка його персональних даних. Рішення про можливість подальшої обробки персональних даних у такому випадку визначає керівник цього органу.

5.5. У разі виникнення у працівника вмотивованої вимоги щодо зміни або знищення своїх персональних даних володільцем та розпорядником бази даних (при його наявності), якщо ці дані обробляються незаконно чи є недостовірними (у відповідності до пункту 5 статті 8 Закону),він подаєвідповідну заяву керівнику Закладу з обов’язковим зазначенням конкретної вмотивованої вимоги щодо зміни або знищення своїх персональних даних і зазначення на його думку порушень чинного законодавства у порядку обробки персональних даних.

5.6. У разі надання працівником вмотивованої вимоги щодо зміни своїх персональних даних, Керівник Закладу доручає керівнику відповідного структурного підрозділу внести відповідні зміни до персональних даних працівника на підставі наданих ним документів.

5.7. У разі надання працівником вмотивованої вимоги щодо знищення своїх персональних даних щодо порушень чинного законодавства при обробці його персональних даних, Керівник Закладу по наданій заяві призначає комісійне службове розслідування з обов’язковим включенням до комісії особи, відповідальної за організацію роботи, пов’язаної із захистом персональних даних у Закладі.

5.8. У разі виявлення порушень у порядку обробки персональних даних, керівник відповідного структурного підрозділу зобов’язаний терміново їх усунути про що повідомити працівника та продовжити обробку персональних даних на законних підставах.

5.9. У разі виявлення незаконної обробки персональних даних, керівник відповідного структурного підрозділу зобов’язаний терміново вилучити з бази персональних даних персональні дані працівника, про що його повідомити.

VІ. Обов’язки працівників Закладу, які обробляють (використовують) персональні дані

6.1. Обов’язки керівника структурного підрозділу, в якому здійснюється обробка персональних даних (указати конкретно якого: відділ кадрів, бухгалтерія та інше в залежності від структури Закладу):

6.1.1. Здійснює організацію та забезпечує порядок обробки персональних даних у підрозділі відповідно до положення про підрозділ, в обсязі, необхідному для виконання реалізації трудових, адміністративно-правових, податкових відносин, відносин у сфері бухгалтерського обліку (та інше, указати за потреби) з урахуванням вимог Закону, нормативно-правових актів, що регулюють питання захисту персональних даних та цього Положення.

6.1.2. З урахуванням вимог Закону, нормативно-правових актів, що регулюють питання захисту персональних даних та цього Положення забезпечує внесення до посадових інструкцій працівників підрозділу відповідних змін.

6.1.3. Визначає ступінь доступу працівників відділу до певного переліку, або повного обсягу персональних даних працівників Закладу.

6.1.4. Забезпечує дотримання умов, термінів зберігання та знищення бази персональних даних та її складових у відповідності до нормативно-правових актів та локальних актів (указати яких), що регулюють зазначене питання.

6.1.5. У межах своїх повноважень, визначених посадовою інструкцією та даним Положенням, несе відповідальність за порядок обробки персональних даних у підрозділі, унеможливлює доступ сторонніх осіб до бази персональних даних та несанкціонований виток інформації.

6.2. Обов’язки керівника структурного підрозділу, у якому використовуються персональні дані (указати конкретно якого, наприклад, юридичного відділу, гаража та/або інше):

6.2.1. Здійснює організацію та забезпечує порядок використання персональних даних у підрозділі відповідно до положення про підрозділ, в обсязі, необхідному для виконання реалізації указати яких функцій з урахуванням вимог Закону, нормативно-правових актів, що регулюють питання захисту персональних даних та цього Положення.

6.2.2. З урахуванням вимог Закону, нормативно-правових актів, що регулюють питання захисту персональних даних та цього Положення забезпечує внесення до посадових інструкцій працівників підрозділу відповідних змін.

6.2.3. Визначає перелік персональних даних працівників Закладу, доступ до яких необхідний для забезпечення реалізації певних відносин (указати яких).

6.2.4. Визначає ступінь доступу працівників відділу до визначеного переліку персональних даних працівників Закладу.

6.2.5. З урахуванням вимог Закону, нормативно-правових актів, що регулюють питання захисту персональних даних та цього Положення забезпечує внесення до посадових інструкцій працівників підрозділу відповідних змін.

6.2.6. У межах своїх повноважень, визначених посадовою інструкцією та даним Положенням, несе відповідальність за порядок використання персональних даних у підрозділі, унеможливлює доступ сторонніх осіб до бази персональних даних та несанкціонований виток інформації.

6.3. Обов’язки працівників Закладу, які обробляють персональні дані:

6.3.1. Зобов’язані ознайомитись з вимогами Закону та інших нормативно-правових актів у сфері захисту персональних даних та забезпечувати їх виконання;

6.3.2. Забезпечувати, відповідно до своїх посадових обов’язків, достовірне внесення інформації та ведення бази персональних даних «Працівники»

6.3.3.Запобігати втраті персональних даних або їх неправомірному використанню;

6.3.4. Не розголошувати персональні дані, які їм було довірено або які стали відомі у зв’язку з виконанням посадових обов’язків, при цьому таке зобов’язання чинне після припинення ними діяльності, пов’язаної з персональними даними, крім випадків, установлених законом;

6.3.5. Терміново повідомляти Відповідальну особу у разі:

6.3.5.1. втрати або неумисного знищення носіїв інформації з персональними даними;

6.3.5.2. втрати ними ключів від приміщень, сейфів, шаф, де зберігаються персональні дані;

6.3.5.3. у разі, якщо ідентифікаційні дані для входу в автоматизовану систему стали відомі іншим особам, за винятком системного адміністратора Закладу (у разі наявності);

6.3.5.4. виявлення спроби несанкціонованого доступу до персональних даних.

6.3.6. При звільненні з роботи або переведенні на іншу посаду своєчасно передати керівнику структурного підрозділу або іншому працівнику, визначеному керівником Закладу, носії інформації, що містять відомості про персональні дані, які були отримані або створені особисто чи спільно з іншими працівниками під час виконання посадових обов’язків.

VІІ. Порядок обробки персональних даних у закладі

7.1. Збирання персональних даних

7.1.1. Обробка (у т. ч. збирання) персональних даних, зазначених у пункті 3.1, проводиться на підставі письмової згоди працівника, форму якої наведено у Додатку 1.

7.1.2. Обробка персональних даних працівників, прийнятих на роботу до закладу до 01.01.2011, у разі якщо вона продовжується у тому ж обсязі і з тією ж метою, продовжує проводитися на основі вільного волевиявлення працівників відповідно до правовідносин, що виникли до набрання чинності Законом,. Зміна мети обробки, складу персональних даних та третіх осіб, потребує додаткової згоди працівника на обробку його персональних даних.

7.1.3. Працівники відділу кадрів Закладу, які оформлюють прийняття на роботу, роз’яснюють претендентам на посаду порядок оформлення прийняття на роботу, у т. ч. підстави для обробки їхніх персональних даних відповідно до Закону, повідомляють:

• про мету обробки персональних даних,
• порядок їх зберігання,
• перелік третіх осіб, яким можуть надаватися його персональні дані,
• права працівника як суб’єкта персональних даних, у тому числі щодо пред’явлення вмотивованої вимоги із запереченням проти обробки своїх персональних даних або їх зміни чи знищення.

7.1.4. При укладанні трудового договору претендент на посаду подає документи, передбачені законодавством, у т. ч. документи, що підтверджують право на пільги та компенсації відповідно до законодавства, заяву про прийняття на роботу та надає згоду на обробку своїх персональних даних за встановленою у Додатку 1 формою, зазначаючи прізвище, ім’я, по батькові (інші дані, у разі, якщо вони передбачені зразком згоди, наприклад, назви структурного підрозділу та посади), засвідчивши цю інформацію особистим підписом із зазначенням дати заповнення.

7.1.5. При укладанні трудового договору персональні дані працівника вносяться працівниками відділу кадрів закладу до картотек персональних даних: особової картки (форма № П-2), особової справи (якщо працівник належить до категорій, для яких особові справи ведуться в обов’язковому порядку), трудової книжки та інших встановлених документів (указати яких) та на підставі наданих працівником первинних джерел відомостей про фізичну особу (посвідчення щодо підвищення кваліфікації, присвоєння кваліфікаційної категорії та ін.) протягом 3 робочих днів — до інформаційно-аналітичної системи «Облік медичних кадрів України».

7.1.6. Для реалізації податкових відносин, відносин у сфері бухгалтерського обліку, працівники відділу кадрів надають персональні дані прийнятого працівника до бухгалтерії у обсязі, необхідному для реалізації цих відносин (указати перелік інформації).

У разі, якщо для реалізації інших певних відносин персональні дані працівника надаються керівникам інших структурних підрозділів необхідно вказати перелік персональних даних, що передається, для реалізації яких відносин, наприклад, для реалізації відносин у сфері транспорту, керівнику гаража надається інформація щодо класу водія та ін.

7.1.7. У подальшому працівники Закладу про зміну своїх персональних даних, що підлягають обробці у базі персональних даних «Працівники», у п’ятиденний строк повідомляють відділ кадрів з наданням відповідних документів.

7.1.8. Працівники відділу кадрів про зміни у персональних даних працівників протягом 3 робочих днів повідомляють керівникам структурних підрозділів, указаним у пункті 7.3.3 для реалізації ними податкових відносин, відносин у сфері бухгалтерського обліку, у сфері транспорту та інше (вказати потрібне).

7.1.9. Зважаючи, що відповідно до пункту 3 статті 6 Закону, персональні дані мають бути точними, достовірними, у разі необхідності — оновлюватися, працівник несе відповідальність за своєчасне надання достовірних персональних даних та змін до них.

7.1.10. У разі виявлення факту внесення до бази персональних даних «Працівники» відомостей про працівника, які не відповідають дійсності, такі відомості мають бути невідкладно виправлені або знищені.

7.1.11. Протягом десяти робочих днів з дня включення персональних даних до бази персональних даних «Працівники», працівник письмово повідомляється про свої права, визначені Законом, мету збору даних та осіб, яким передаються його персональні дані, за формою, наведеною у Додатку 2. Повідомлення надають працівники відділу кадрів, у посадових інструкціях яких передбачено відповідну функцію.

7.1.12. Контроль за наданням повідомлень покладається на начальника відділу кадрів.

7.1.13. Повідомлення оформлюють у двох примірниках. Перший примірник надається працівнику. Отримання повідомлення працівник підтверджує відміткою на другому примірнику повідомлення.

7.1.14. Отримані від працівників згоди на обробку персональних даних та повідомлення реєструються у Журналі реєстрації документів з питань обробки персональних даних працівників (Додаток 3), формуються в окрему справу «Документи з питань обробки персональних даних працівників (заяви про надання згоди на обробку персональних даних, повідомлення про мету обробки персональних даних)». Нумерація у журналі ведеться наростаючим підсумком, починаючи з № 1.

7.2. Зберігання та знищення персональних даних

7.2.1. У Закладі забезпечуються належні умови зберігання різних видів документів, у порядку, визначеному відповідними нормативно-правовими актами, що регламентують їх створення, порядок ведення та зберігання та локальними актами Закладу (вказати якими).

7.2.2. Персональні дані працівників зберігаються у строк не більше, ніж це необхідно відповідно до мети їх обробки, якщо інше не передбачено законодавством у сфері архівної справи та діловодства.

7.2.3. В окремих визначених випадках строки зберігання персональних даних можуть визначатися згодою суб’єкта персональних даних (указати які конкретно випадки, при їх наявності).

7.2.4. Відбір для знищення документів з персональними даними, терміни зберігання яких закінчилися, проводиться експертною комісією, склад якої визначається наказом керівника Закладу.

7.2.5. Знищення персональних даних здійснюється у спосіб, що виключає подальшу можливість поновлення таких персональних даних.

7.2.6. Знищення карток звільнених працівників в інформаційно-аналітичній системі «Облік медичних кадрів України» провадиться шляхом їх видалення через рік після припинення правовідносин із Закладом.

7.3. Використання персональних даних працівниками Закладу

7.3.1. Під використанням персональних даних працівників згідно зі статтею 10 Закону розуміються будь-які дії Закладу щодо обробки цих даних, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб’єктам відносин, пов’язаних із персональними даними, що здійснюються за згодою суб’єкта персональних даних чи відповідно до закону.

7.3.2. Відомості про особисте життя працівника не можуть використовуватися як чинник, що підтверджує чи спростовує його ділові якості.

7.3.3 Відповідно до ст.296 Цивільного кодексу, фізична особа має право використовувати своє ім’я у всіх сферах своєї діяльності.

Використання імені фізичної особи в літературних та інших творах, зокрема наукового характеру (крім творів документального характеру) допускається лише за її згодою, а після її смерті — за згодою її дітей, вдови (вдівця), а якщо їх немає — батьків, братів та сестер.

Використання імені фізичної особи з метою висвітлення її діяльності або діяльності організації, в якій вона працює чи навчається, що грунтується на відповідних документах (звіти, стенограми, протоколи, аудіо-, відеозаписи, архівні матеріали тощо), допускається без її згоди.

Використання початкової літери прізвища фізичної особи у засобах масової інформації, творах (у тому числі наукових) не є порушенням її права.

7.3.4. Доступ до бази персональних даних «Працівники» мають:

• керівник закладу, його заступники (з числа лікарів) — до всіх персональних даних,
• начальник відділу кадрів, інспектори з кадрів відповідно до посадових обов’язків в обсязі, необхідному для виконання таких обов’язків, — до всіх персональних даних,
• начальник планово-економічного відділу, економісти, головний бухгалтер, бухгалтер із нарахування заробітної плати — (указати перелік персональних даних) відповідно до посадових обов’язків у обсязі, необхідному для реалізації податкових відносин, відносин у сфері бухгалтерського обліку,
• керівники структурних підрозділів — відповідно до посадових обов’язків у обсязі, необхідному для реалізації відносин у сфері управління кадровим потенціалом,
• юрисконсульт відповідно до посадових обов’язків — до всіх персональних даних при потребі врегулювання спірних питань трудових, адміністративно-правових відносин
• начальник гаража — (указати перелік персональних даних) відповідно до посадових обов’язків у обсязі, необхідному для реалізації відносин у сфері транспорту.

У разі обмежень у доступі до персональних даних, залежно від посади, необхідно указати перелік посад та перелік інформації, до якої має доступ цей працівник.

7.3.5. Працівники Закладу, які обробляють персональні дані, або мають доступ до них (зазначені у пункті 7.3.3), а також члени комісії із соціального страхування Закладу та експертної комісії Закладу, дають письмове зобов’язання про нерозголошення персональних даних, які їм було довірено або які стали відомі у зв’язку з виконанням посадових обов’язків, за формою, наведеною у Додатку 4.

7.3.6. Право доступу до персональних даних та їх обробку надається особам, зазначеним у пунктах 7.3.3, 7.3.4, лише після підписання зобов’язання про нерозголошення персональних даних.

7.3.7. Забезпечення отримання зобов’язань покладається на працівників відділу кадрів, у посадових інструкціях яких передбачено відповідну функцію.

7.3.8. Зобов’язання про нерозголошення персональних даних реєструються у Журналі реєстрації зобов’язань про нерозголошення персональних даних (форму журналу наведено у Додатку 5). Нумерація у журналі ведеться наростаючим підсумком, починаючи з № 1.

7.3.9. За Журналом реєстрації зобов’язань про нерозголошення персональних даних працівників ведеться облік фактів надання та позбавлення працівників права доступу до персональних даних та їх обробки.

7.3.10. Датою надання права доступу до персональних даних вважається дата надання зобов’язання.

7.3.11. Датою позбавлення права доступу до персональних даних вважається дата звільнення працівника, дата переведення на посаду, виконання обов’язків за якою не пов’язано з обробкою персональних даних.

7.3.12 Справи «Документи з питань обробки персональних даних (заяви про надання згоди на обробку персональних даних, повідомлення про мету обробки персональних даних)», «Зобов’язання посадових осіб закладу щодо нерозголошення персональних даних», Журнал реєстрації документів з питань обробки персональних даних працівників, Журнал реєстрації зобов’язань про нерозголошення персональних даних включаються до номенклатури справ відділу кадрів.

7.3.13. Відповідальним за забезпечення збереженості справ та реєстраційних форм, зазначених у пункті 7.3.12, є начальник відділу кадрів.

7.4. Облік порушень режиму захисту персональних даних

7.4.1. Факти порушень режиму захисту персональних даних фіксуються актами, які складає Відповідальна особа.

7.4.2. За необхідності за фактами порушень режиму захисту персональних даних керівником Закладу призначається службове розслідування.

7.4.3. За результатами службового розслідування на працівників, винних у порушеннях, можуть бути накладені дисциплінарні стягнення.

7.4.4. Виявлені порушення повинні бути терміново усунені.

VІІІ. Передавання персональних даних

8.1. Передавання персональних даних працівників третім особам визначається умовами згоди працівника на обробку його персональних даних, наданої при прийнятті на роботу, або відповідно до вимог закону.

8.2. Передання персональних даних працівників третім особам допускається в мінімально необхідних обсягах і лише з метою виконання завдань, які відповідають об’єктивній причини збирання відповідних даних.

8.3. Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов’язання щодо забезпечення виконання вимог Закону або неспроможна їх забезпечити.

8.4. Персональні дані працівника передаються банківській установі виключно для реалізації карткового зарплатного проекту відповідно до згоди працівника на обробку його персональних даних.

8.5. Без згоди працівника його персональні дані можуть передаватися у випадках:

• коли передача персональних даних прямо передбачена законодавством України, і лише в інтересах національної безпеки, економічного добробуту та прав людини;
• отримання запиту від органів державної влади і місцевого самоврядування, що діють у межах повноважень, наданих законодавством України.

8.6. В інших ніж зазначені у пункті 8.5 Положення випадках, доступ до персональних даних працівника надається третім особам лише за письмової згоди працівника по кожному запиту окремо у порядку, визначеному пунктами 3–5 статті 16 Закону. Запити та факти доступу таких третіх осіб до персональних даних працівників підлягають реєстрації.

8.7. Забороняється передавання персональних даних працівників третім особам по телефону або факсом.

8.8. Працівник має право на одержання будь-яких відомостей про себе, що містяться у базі персональних даних «Працівники», без зазначення мети запиту.

8.9. У разі смерті працівника його персональні дані можуть бути надані спадкоємцям першої черги (відповідно до законодавства України) за письмовим запитом після надання оригіналу свідоцтва про смерть.

ІХ. Захист персональних даних при їх обробці

9.1. Захист персональних даних працівників в автоматизованій системі

9.1.1. Право доступу до бази персональних даних «Працівники» надається працівникам Закладу, указаним у пункті 7.3.3 Положення, у посадових інструкціях яких передбачено функції з обробки даних в автоматизованій системі та які надали письмове зобов’язання щодо нерозголошення персональних даних.

9.1.2. Право внесення нових та редагування існуючих персональних даних до паперових носіїв у вигляді картотек та інформаційно-аналітичної системи «Облік медичних кадрів України» належить тільки працівникам відділу кадрів у відповідності до їх посадових обов’язків.

9.1.3. Інші працівники Закладу, вказані у пункті 7.3.3 Положення, мають тільки право перегляду та використання персональних даних для реалізації відносин, передбачених їх посадовими обов’язками.

9.1.4. Працівники Закладу допускаються до обробки персональних даних в інформаційно-аналітичній системі «Облік медичних кадрів України» (указати інші при їх наявності) лише після їх ідентифікації (введення логіну, пароля).

9.1.5. Доступ осіб, які не пройшли процедуру ідентифікації, блокується.

9.1.6. Автоматизована система в обов’язковому порядку забезпечується антивірусним захистом та засобами безперебійного живлення елементів системи. Відповідні заходи забезпечує адміністратор системи (або інша, вказати яка конкретно посадова особа).

9.1.7. При переведенні на іншу посаду, яка не передбачає обробки персональних даних, або звільненні працівника, який мав право на обробку персональних даних в автоматизованій системі, необхідно припинити/закрити доступ працівника до системи.

9.2. Захист персональних даних у формі картотек

9.2.1. Головний бухгалтер і начальник відділу кадрів забезпечують захист персональних даних у формі картотек (на паперових носіях) від несанкціонованого доступу.

9.2.2. До роботи з картотеками персональних даних допускаються лише працівники, у посадових інструкціях яких передбачено відповідні функції та які надали письмове зобов’язання щодо нерозголошення персональних даних

9.2.3. Двері у приміщення, де зберігаються картотеки персональних даних, обладнуються замками.

9.2.4. Картотеки зберігаються у шафах і сейфах, що надійно зачиняються (з урахуванням вимог нормативно-правових актів, що регламентують ведення відповідних картотек).

Начальник відділу кадрів Добренька Г.О. Добренька

Візи заступника керівника закладу, головного бухгалтера, юрисконсульта, системного адміністратора, особи, відповідальної за організацію роботи із захисту персональних даних у закладі та/або, у разі потреби, інші особи.

Додаток 1

до Положення про порядок

обробки та захисту персональних даних

Назва закладу

ЗГОДА

на обробку персональних даних

«___»___________ 201__ р. № _____

Я,.____________________________________,

(прізвище, ім’я, по батькові)

назва посади_______________________________________________

назва структурного підрозділу ________________________________,

відповідно до Закону України «Про захист персональних даних»

від 01.06.2010 № 2297-VI (далі — Закон)

1. Надаю (назва закладу) (далі — Заклад) добровільну згоду на обробку моїх персональних даних у базі персональних даних «Працівники» з метою забезпечення реалізації трудових, соціально-трудових відносин, відносин у сфері управління персоналом, військового обліку (відповідно до Кодексу законів про працю України, Законів України «Про охорону праці», «Про професійні спілки, їх права та гарантії діяльності», «Про військовий обов’язок та військову службу»); адміністративно-правових відносин (відповідно до Господарського кодексу України, Цивільного кодексу України, згідно зі статутом Закладу), відносин у сфері бухгалтерського і податкового обліку (відповідно до Податкового кодексу України, Законів України «Про бухгалтерський облік та фінансову звітність в Україні», «Про оплату праці»).

Відповідно до визначеної мети обробки, до бази персональних даних «Працівники» включаються:

• персональні дані, необхідність обробки яких передбачена Законами України (прізвище, ім’я, по батькові, дата і місце народження, паспортні дані, номер ідентифікаційного коду (номер облікової картки платника податків), відомості з військового квитка (приписного свідоцтва), відомості про трудову діяльність, що містяться у трудовій книжці);
• інші персональні дані, необхідність обробки яких визначена нормативно-правовими актами або пов’язана з кваліфікаційними вимогами до посади та/або специфікою діяльності Закладу:

• відомості про освіту, наявність спеціальних знань або підготовки (за потреби, залежно від кваліфікаційних вимог до посади;

• відомості про наявність кваліфікаційної категорії (розряду, класу тощо);

• відомості про стан здоров’я (обробляються відповідно до статті 24 Кодексу законів про працю України в обсязі, необхідному для реалізації трудових відносин та для забезпечення вимог законодавства у сфері охорони праці);

• біографічні дані; відомості про родинний стан, членів родини в обсязі, необхідному для реалізації трудових відносин;

• відомості про фактичне місце проживання, номери телефонів;

• відомості про членство у професійних спілках;

• відомості, що підтверджують право на пільги та компенсації відповідно до законодавства;

• відомості, що містяться у Декларації про майно, доходи, витрати і зобов’язання фінансового характеру (Додаток до Закону України «Про засади запобігання і протидії корупції»).

• фото– та відеозображення (записи у системі відеоспостереження, встановленої у закладі при їх наявності).

2. Повідомлений, що:

2.1. Під обробкою моїх персональних даних відповідно до Закону розуміється будь-яка дія або сукупність дій, здійснюваних повністю або частково в інформаційній автоматизованій системі та/або в картотеках персональних даних, які пов’язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, відновленням, використанням та поширенням, знеособленням, знищенням відомостей про мене як працівника Закладу.

2.2. Заклад прийняв на себе зобов’язання щодо захисту персональних даних своїх працівників та вживає технічних і організаційних заходів щодо захисту таких персональних даних.

2.3. Обробка моїх персональних даних провадитиметься виключно посадовими особами Закладу, які надали письмові зобов’язання про нерозголошення персональних даних інших осіб, що стали відомі у зв’язку з виконанням посадових обов’язків.

2.4. Згідно зі статтею 14 Закону Заклад має право на передання персональних даних працівників без повідомлення їх про це у випадках:

1) якщо передача персональних даних прямо передбачена законодавством України, і лише в інтересах національної безпеки, економічного добробуту та прав людини;

2) отримання запиту від органів державної влади і місцевого самоврядування, що діють у межах повноважень, наданих законодавством України.

2.5. Крім того, відповідно до п. 6.34 Положення про Міністерство охорони здоров’я, затвердженого Указом Президента України від 13.04.2011 № 467/2011, наказу МОЗ України «Про формування автоматизованої бази даних медичних, фармацевтичних та науково-педагогічних працівників сфери управління МОЗ України» від 19.12.2006 №842, зареєстрованого у Міністерстві юстиції України 16.01.2007 за № 18/13258, Положення про автоматизовану базу даних території, затвердженого наказом управління охорони здоров’я _______________ обласної державної адміністрації (закладу), не заперечую проти надання моїх персональних даних до автоматизованої бази даних території (або Центральної бази даних — визначити необхідне),

2.6. В інших ніж зазначені у пунктах 2.4, 2.5 випадках, доступ до моїх персональних даних надається третім особам лише за моєї письмової згоди по кожному запиту окремо.

2.7. Строки зберігання персональних даних, зазначених у пункті 1 цієї згоди, визначаються згідно зі строками зберігання відповідних документів, встановленими законодавством України з метою захисту соціальних та трудових прав громадян, після чого персональні дані підлягають знищенню у визначеному законодавством порядку.

3. Надаю згоду на передання моїх персональних даних банківській установі в обсязі, необхідному для реалізації карткового зарплатного проекту.

4. Зобов’язуюсь повідомляти відділ кадрів Закладу про будь-які зміни моїх персональних даних, зазначених у пункті 1 цієї згоди, протягом 5 календарних днів з наданням оригіналів відповідних документів.

_______________________ «___» _____________ 201__ р.

  (підпис)

Додаток 2

до Положення про порядок обробки та захисту
персональних даних

Назва закладу

ПОВІДОМЛЕННЯ

про права, визначені законодавством

у сфері захисту персональних даних,

мету обробки персональних даних, осіб, яким передаються дані

«___»___________ 201__ р. № _____

___________________________________________________________

(посада)

____________________________________________________________

(прізвище, ім’я, по батькові)

Керуючись статтею 12 Закону України «Про захист персональних даних» від 1 червня 2010 р. № 2297-VІ (далі — Закон), повідомляємо Вам, що персональні дані, згоду на обробку яких надано Вами у заяві від «___» _________ 201__ року, включено до бази персональних даних «Працівники» ______________________________________________________________________________ (далі — Заклад).

(назва закладу)

Персональні дані у базі персональних даних «Працівники» обробляються у вигляді картотек (особова картка, особова справа, інші документи на паперових носіях, що містять персональні дані) та в інформаційно-аналітичній системі «Облік медичних кадрів України», автоматизованій системі __________________________________________________________________________________.

(указати назви інших автоматизованих систем при наявності)

База персональних даних «Працівники» розміщена у відділі кадрів та бухгалтерії Закладу.

Метою обробки (у т. ч. збору) Ваших персональних даних є забезпечення реалізації трудових, соціально-трудових відносин, відносин у сфері управління персоналом, військового обліку (відповідно до Кодексу законів про працю України, Законів України «Про професійні спілки, їх права та гарантії діяльності», «Про військовий обов’язок та військову службу», «Про охорону праці» тощо); адміністративно-правових відносин (відповідно до Господарського кодексу України, Цивільного кодексу України, згідно зі статутом Закладу тощо), відносин у сфері бухгалтерського і податкового обліку (відповідно до Податкового кодексу України, Законів України «Про бухгалтерський облік та фінансову звітність в Україні», «Про оплату праці» та ін.).

Згідно зі статтею 8 Закону Ви маєте право:

отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються Ваші персональні дані, що містяться у базі персональних даних «Працівники»;

• на доступ до своїх персональних даних, що містяться у відповідній базі персональних даних, відповідно до статті 16 «Порядок доступу до персональних даних» Закону;
• отримувати не пізніш як за 30 календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи зберігаються Ваші персональні дані у базі персональних даних «Працівники», а також отримувати зміст Ваших персональних даних, які зберігаються;
• пред’являти вмотивовану вимогу із запереченням проти обробки своїх персональних даних органами державної влади, органами місцевого самоврядування при здійсненні їхніх повноважень, передбачених законом;
• пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних володільцем або розпорядником цієї бази, якщо ці дані обробляються незаконно чи є недостовірними;
• на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
• звертатися з питань захисту своїх прав щодо персональних даних до органів державної влади, органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних;
• застосовувати засоби правового захисту у разі порушення законодавства про захист персональних даних.

Відповідно до наданої Вами згоди Ваші персональні дані передаються до автоматизованої бази даних медичних, фармацевтичних та науково-педагогічних працівників області (міста, Центральної бази даних — вказати потрібне) в обсязі, необхідному для реалізації повноважень Міністерства охорони здоров’я (управління охорони здоров’я відповідної території) та банківській установі ____________________________________________________________________

(вказати назву банку)

в обсязі, необхідному для реалізації карткового зарплатного проекту.

Начальник відділу кадрів _____________ ______________________

                                     (підпис) (ініціали, прізвище)

Примірник повідомлення отримано

_____________ __________________________

                             (підпис) (ініціали, прізвище)

«___» _____________ 201___ р.

Додаток 3

до Положення про обробку

та захист персональних даних

ЖУРНАЛ

реєстрації документів з питань обробки
персональних даних працівників

(згоди на обробку персональних даних, повідомлення про права у сфері захисту персональних даних)

Додаток 4

до Положення про обробку

та захист персональних даних

Головному лікарю (назва закладу)

______________________________

(від) ______________________________

(посада)

______________________________

(прізвище, ім’я, по батькові)

Зобов’язання
про нерозголошення персональних даних

Відповідно до статті 10 Закону України «Про захист персональних даних» від 1 червня 2010 р. № 2297­VІ зобов’язуюсь не розголошувати у будь-який спосіб персональні дані інших осіб, що стали відомі мені у зв’язку з виконанням посадових обов’язків.

Підтверджую, що зобов’язання буде чинним після припинення мною діяльності, пов’язаною з обробкою персональних даних, крім випадків, установлених законом.

«___» __________ 201__ р. ____________

                                                              (підпис)

Додаток 5

до Положення про обробку

та захист персональних даних

Журнал

реєстрації зобов’язань про нерозголошення
персональних даних

Джерела інформації:

• Закон України «Про захист персональних даних» від 01.06.2010 № 2297-VI,
• Типовий порядок обробки персональних даних у базах персональних даних, затверджений наказом Міністерства юстиції України від 30.12.2011 № 3659/5, зареєстровано у Мін’юсті 03.01.2012 за № 1/20314,
• Л. В. Олексюк, А. Ю. Іванов, І. А. Іванченко «Розробляємо Положення про порядок обробки та захисту персональних даних» (журнал «КАДРОВИК. Трудове право і управління персоналом», № 3, 2012),
• Положення про порядок обробки та захисту персональних даних працівників: приклад розроблення (автори: Л. В. Олексюк, А. Л. Пустовойтова, А. Ю. Іванов, І. А. Іванченко (журнал «КАДРОВИК. Трудове право і управління персоналом», № 3, 2012),
• Л. В. Олексюк, А. Л. Пустовойтова, І. А. Іванченко «Розроблення Положення про порядок обробки та захисту персональних даних у закладі охорони здоров’я» (журнал «Управління закладом охорони здоров`я» № 3, 2012),
• Примірне Положення про порядок обробки та захисту персональних даних у базі персональних даних «Працівники» державного та комунального закладу охорони здоров’я: приклад розроблення (автори: Л. В. Олексюк, А. Л. Пустовойтова, І. А. Іванченко (журнал «Управління закладом охорони здоров’я» № 3, 2012).

Автори рекомендацій:

ОЛЕКСЮК Лілія Віталіївна,

перший заступник Голови Державної служби України з питань захисту персональних даних,

ФЕЩЕНКО Іван Іванович,

заступник Директора Департаменту кадрової політики, освіти, науки та запобігання корупції,

ПУСТОВОЙТОВА Анна Леонідівна,

директор Державного підприємства «Реєстр медичних, фармацевтичних та науково-педагогічних працівників сфери управління МОЗ України»,

ІВАНЧЕНКО Ірина Альбертівна,

головний редактор журналу «КАДРОВИК. Трудове право і управління персоналом».

Бажаєте завжди бути в курсі останніх новин фармацевтичної галузі?
Тоді підписуйтесь на «Щотижневик АПТЕКА» в соціальних мережах!