УТВЕРЖДЕНО
приказ главного врача учреждения здравоохранения
«Брестская центральная поликлиника»
1 октября 2025 г. № 2-606
ПОЛИТИКА
учреждения здравоохранения «Брестская центральная поликлиника» в отношении обработки персональных данных
ГЛАВА 1
ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Издание Политики является одной из обязательных принимаемых Учреждением здравоохранения «Брестская центральная поликлиника» (далее учреждение здравоохранения) мер по обеспечению защиты персональных данных, предусмотренных статьей 17 Закона Республики Беларусь от 7 мая 2021 г. № 99 З "О защите персональных данных" (далее – Закон).
1.2. Настоящая Политика разработана в соответствии с Законом и разъясняет субъектам персональных данных, как, для каких целей и на каком правовом основании их персональные данные собираются, используются или иным образом обрабатываются, а также отражает имеющиеся в связи с этим у субъектов персональных данных права и механизм их реализации.
Политика не применяется к обработке персональных данных в процессе трудовой деятельности (в отношении работников, бывших работников, членов их семей (родственников), при видеонаблюдении.
1.3. Контактные данные Учреждения здравоохранения «Брестская центральная поликлиника» (оператор) (далее учреждение здравоохранения).
- Местонахождение: г.Брест, ул.Советской Конституции, 8
- Адрес в сети Интернет: brestcp.by
- Адрес электронной почты:
Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в браузере должен быть включен Javascript. - Номер телефона: 8(0162) 25 56 54
ГЛАВА 2
ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Обработка персональных данных осуществляется как с использованием средств автоматизации, так и без их использования посредством сбора, хранения, использования, систематизации, изменения, обезличивания, блокирования, предоставления, распространения, удаления, персональных данных.
2.2. Информация о целях обработки персональных данных, перечне обрабатываемых персональных данных, правовых основаниях и сроках их хранения содержится в приложении 2 к настоящей Политике (Реестр обработки персональных данных в учреждении здравоохранения «Брестская центральная поликлиника»).
2.3. Учреждение здравоохранения осуществляет обработку персональных данных с учетом требований Закона Республики Беларусь от 18 июня 1993 г. № 2435-XII "О здравоохранении" (далее – Закон о здравоохранении), предусматривающих особенности обработки персональных данных, входящих в состав врачебной тайны.
2.4. Учреждение здравоохранения осуществляет предоставление специальных персональных данных (сведений о состоянии здоровья) в случаях, установленных законодательными актами, с учетом требований статьи 46 Закона о здравоохранении.
ГЛАВА 3
ПРИНЦИПЫ, ЦЕЛИ И ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Учреждение здравоохранения, являясь Оператором, осуществляет обработку персональных данных граждан Республики Беларусь, иностранных граждан, лиц без гражданства, включая работников и пациентов учреждения здравоохранения, а также других субъектов персональных данных, не состоящих с учреждением здравоохранения в трудовых отношениях.
3.2. Настоящая Политика направлена на обеспечение защиты прав и свобод граждан Республики Беларусь, иностранных граждан, лиц без гражданства, работников учреждения здравоохранения, в том числе защиты права на неприкосновенность частной жизни, личную, семейную и служебную тайну.
3.3. Обработка персональных данных в учреждении здравоохранения осуществляется на основе следующих принципов:
обработка персональных данных осуществляется на законной и справедливой основе;
обработка персональных данных осуществляется соразмерно заявленным целям их обработки и обеспечивает на всех этапах такой обработки справедливое соотношение интересов всех заинтересованных лиц;
обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных законодательными актами;
обработка персональных данных ограничивается достижением конкретных, заранее заявленных законных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки;
содержание и объем обрабатываемых персональных данных соответствуют заявленным целям их обработки. Обрабатываемые персональные данные не являются избыточными по отношению к заявленным целям их обработки;
обработка персональных данных носит прозрачный характер. Субъекту персональных данных может предоставляться соответствующая информация, касающаяся обработки его персональных данных;
оператор принимает меры по обеспечению достоверности обрабатываемых им персональных данных, при необходимости обновляет их;
хранение персональных данных осуществляется в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных.
3.4. Персональные данные обрабатываются в учреждении здравоохранения с целью выполнения задач и осуществления функций в соответствии с законодательными актами:
обеспечения соблюдения Конституции Республики Беларусь, законодательных и иных нормативных правовых актов, локальных правовых актов учреждения;
осуществления функций, полномочий и обязанностей, возложенных законодательством на учреждение здравоохранения, в том числе по предоставлению персональных данных в органы государственной власти, в Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь, суды, органы прокуратуры, а также иные государственные органы;
регулирования трудовых отношений с работниками учреждения (содействие в трудоустройстве, обучение и продвижение по службе, обеспечение личной безопасности, контроль количества и качества выполняемой работы, обеспечение сохранности имущества);
обработки информации кандидатов на трудоустройство;
ведения бухгалтерского и налогового учета;
защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных;
внесения и обработки персональных данных пациента и информации, составляющей врачебную тайну, при формировании электронной медицинской карты пациента, информационных систем, информационных ресурсов, баз (банков) данных, реестров (регистров) в здравоохранении;
оказания медицинской помощи, направления в другие медицинские учреждения, выписки лекарственных препаратов, выдачи, продлении, закрытии листков нетрудоспособности (справок о временной нетрудоспособности), проведения всех видов медицинских осмотров, вакцинации, внесения сведений в единую автоматизированную информационную систему учета лиц, вакцинированных против COVID-19, внесение сведений в Единый регистр трансплантации, выдачи справки о смерти, осуществления административных процедур, оформления на ВКК и МРЭК, направления анализов, выписок по электронной почте, оказания медицинских услуг на основании страховки;
подготовки, заключения, исполнения и прекращения договоров с контрагентами;
формирования справочных материалов для внутреннего информационного обеспечения деятельности учреждения здравоохранения;
исполнения судебных актов, актов других органов или должностных лиц, подлежащих исполнению в соответствии с законодательством об исполнительном производстве;
осуществления прав и законных интересов учреждения здравоохранения в рамках осуществления видов деятельности, предусмотренных Уставом и иными локальными актами учреждения здравоохранения, либо достижения общественно значимых целей;
рассмотрения обращений, в том числе внесенных в книгу замечаний и предложений;
в других целях, установленных Законом и иными законодательными актами.
3.5. Правовые основания обработки персональных данных:
Обработка персональных данных осуществляется с согласия субъекта персональных данных, за исключением случаев, предусмотренных Законом и иными законодательными актами:
при оформлении трудовых (служебных) отношений, а также в процессе трудовой (служебной) деятельности субъекта персональных данных в случаях, предусмотренных законодательством;
для организации и проведения государственных статистических наблюдений, формирования официальной статистической информации; при получении персональных данных оператором на основании договора, заключенного (заключаемого) с субъектом персональных данных, в целях совершения действий, установленных этим договором;
при обработке персональных данных, когда они указаны в документе, адресованном оператору и подписанном субъектом персональных данных, в соответствии с содержанием такого документа;
для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно;
в отношении распространенных ранее персональных данных до момента заявления субъектом персональных данных требований о прекращении обработки распространенных персональных данных, а также об их удалении при отсутствии иных оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами;
в случаях, когда обработка персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;
в случаях, когда Законом и иными законодательными актами прямо предусматривается обработка персональных данных без согласия субъекта персональных данных;
если специальные персональные данные сделаны общедоступными персональными данными самим субъектом персональных данных;
в целях организации оказания медицинской помощи при условии, что такие персональные данные обрабатываются медицинским, фармацевтическим или иным работником здравоохранения, на которого возложены обязанности по обеспечению защиты персональных данных и в соответствии с законодательством распространяется обязанность сохранять врачебную тайну;
для осуществления административных процедур;
в случаях, когда обработка специальных персональных данных является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами;
в случаях, когда Законом и иными законодательными актами прямо предусматривается обработка специальных персональных данных без согласия субъекта персональных данных;
в случае обработки персональных данных без согласия субъекта персональных данных в целях исполнения нормативных правовых документов, регламентирующих определенные сферы деятельности; в иных законных случаях.
3.6. Перечень персональных данных, обрабатываемых в учреждении здравоохранения, определяется в соответствии с законодательством с учетом целей обработки персональных данных, указанных в настоящей Политике и Реестре обработки персональных данных.
ГЛАВА 4
ФУНКЦИИ УЧРЕЖДЕНИЯ ЗДРАВООХРАНЕНИЯ ПРИ ОСУЩЕСТВЛЕНИИ ОБРАБОТКИ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Учреждение здравоохранения при осуществлении обработки персональных данных:
принимает необходимые и достаточные меры (правовые, организационные и технические) для обеспечения выполнения требований законодательства и локальных актов учреждения здравоохранения в области защиты персональных данных;
принимает правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных;
назначает структурное подразделение или лиц, ответственных за осуществление внутреннего контроля за обработкой персональных данных;
издает локальные правовые акты, определяющие политику и вопросы обработки и защиты персональных данных в учреждении здравоохранения;
осуществляет ознакомление работников учреждения здравоохранения, непосредственно осуществляющих обработку персональных данных, с положениями законодательства и локальных актов учреждения здравоохранения в области персональных данных, в том числе c требованиями к защите персональных данных, и обучение указанных работников;
публикует или иным образом обеспечивает неограниченный доступ к настоящей Политике;
сообщает в установленном порядке субъектам персональных данных или их представителям информацию о наличии персональных данных, относящихся к соответствующим субъектам, предоставляет возможность ознакомления с этими персональными данными при обращении и (или) поступлении запросов указанных субъектов персональных данных или их представителей, если иное не установлено законодательством;
прекращает обработку и уничтожает персональные данные в случаях, предусмотренных законодательством в области персональных данных;
осуществляет обработку только тех персональных данных, которые необходимы для выполнения заявленных целей, и не допускает их избыточной обработки;
осуществляет хранение персональных данных в форме, позволяющей идентифицировать субъекта персональных данных, не дольше, чем этого требуют заявленные цели обработки персональных данных;
не осуществляет передачу персональных данных третьим лицам без согласия субъекта и не распространяет персональные данные, за исключением случаев, предусмотренных законодательными актами;
совершает иные действия, предусмотренные законодательством в области персональных данных.
4.2. Обработка персональных данных в учреждении здравоохранения осуществляется с согласия субъекта персональных данных на обработку его персональных данных, если иное не предусмотрено законодательством в области персональных данных.
4.3. Учреждение здравоохранения вправе поручить обработку персональных данных от имени учреждения здравоохранения или в его интересах уполномоченному лицу на основании заключаемого с этим лицом договора.
Договор должен содержать:
цели обработки персональных данных;
перечень действий, которые будут совершаться с персональными данными уполномоченным лицом;
обязанности по соблюдению конфиденциальности персональных данных;
меры по обеспечению защиты персональных данных в соответствии со статьей 17 Закона о защите персональных данных.
Уполномоченное лицо не обязано получать согласие субъекта персональных данных, если для обработки персональных данных по поручению учреждения необходимо получение согласия субъекта персональных данных, такое согласие получает учреждение здравоохранения.
4.4. В целях внутреннего информационного обеспечения учреждение может создавать внутренние справочные материалы, в которые с письменного согласия субъекта персональных данных, если иное не предусмотрено законодательством, могут включаться его фамилия, имя, отчество, место работы, должность, год и место рождения, адрес, абонентский номер, адрес электронной почты, иные персональные данные, сообщаемые субъектом персональных данных.
4.5. Доступ к обрабатываемым в учреждении здравоохранения персональным данным разрешается только работникам учреждения, занимающим должности, включенные в перечень должностей структурных подразделений и административно-управленческих работников учреждения здравоохранения, имеющих доступ и осуществляющих обработку персональных данных.
4.6. Обработка персональных данных в учреждении здравоохранения осуществляется как с использованием средств автоматизации, так и без использования средств автоматизации, при этом обеспечиваются поиск персональных данных и (или) доступ к ним по определенным критериям (картотеки, списка, базы данных, журналы).
4.7. Ответственное лицо за осуществление внутреннего контроля за обработкой персональных данных (далее - ответственное лицо) осуществляет следующие функции:
принимает необходимые и достаточные меры для обеспечения выполнения требований законодательства и локальных правовых актов учреждения здравоохранения в области персональных данных;
разрабатывает и поддерживает в актуальном состоянии документы, определяющие политику оператора в отношении обработки персональных данных;
рассматривает заявления, жалобы субъектов персональных данных по вопросам обработки персональных данных;
проводит разъяснительную работу по вопросам применения законодательства о персональных данных.
ГЛАВА 5
КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Учреждение здравоохранения обрабатывает персональные данные следующих категорий субъектов:
работники всех структурных подразделений и административно-управленческих работников учреждения;
кандидаты на рабочие места;
работники и иные представители контрагентов - юридических лиц;
контрагенты - физические лица;
пациенты учреждения здравоохранения, лица, обратившиеся за оказанием медицинской помощи;
лица, указанные в части второй статьи 18 Закона о здравоохранении;
иные субъекты, взаимодействие которых с Оператором создает необходимость обработки персональных данных (для обеспечения реализации целей обработки, указанных в настоящей Политике).
ГЛАВА 6
ПЕРЕЧЕНЬ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ
6.1. Учреждение здравоохранения осуществляет обработку персональных данных, то есть совершает любое действие или совокупность действий, совершаемых с персональными данными, включая сбор, систематизацию, хранение, изменение, использование, обезличивание, блокирование, распространение, предоставление, удаление персональных данных.
6.2. Перечень персональных данных, обрабатываемых в учреждении, определяется в соответствии с законодательством с учетом целей обработки персональных данных, указанных в настоящей Политике.
6.3. Обработка специальных персональных данных осуществляется в порядке, установленном законодательством.
6.4. Персональные данные работников учреждения здравоохранения включают:
фамилию, имя, отчество (а также все предыдущие фамилии);
дату рождения;
гражданство;
паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, - дата выдачи, наименование органа, выдавшего документ, и др.);
пол;
сведения о регистрации по месту жительства (включая адрес, дату регистрации);
сведения о месте пребывания;
биометрические персональные данные (включая фотографии, изображения с камер видеонаблюдения, записи голоса);
сведения о социальных льготах и выплатах;
контактные данные (включая номера рабочего и (или) мобильного телефона, электронной почты и др.);
данные о родителях, опекунах, попечителях, семейном положении, супруге, ребенке (детях);
данные об образовании, ученой степени, ученом звании;
данные о роде занятий;
данные об исполнении воинской обязанности;
данные об инвалидности;
реквизиты банковского счета (карт-счета);
иные данные, необходимые для исполнения взаимных прав и обязанностей.
6.5.Персональные и иные данные пациентов включают:
фамилию, имя, отчество;
гражданство;
дату рождения;
паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ, и др.);
сведения о регистрации по месту жительства (включая адрес, дату регистрации);
сведения о месте фактического проживания;
контактные данные (включая номера рабочего, домашнего и (или) мобильного телефона, электронной почты и др.);
сведения о трудовой деятельности (место работы, должности);
сведения о социальных льготах;
пол;
рост, вес;
биометрические персональные данные (включая фотографии, изображения с камер видеонаблюдения, записи голоса);
генетические персональные данные;
медицинские данные:
семейный анамнез;
анамнез жизни;
аллергологический анамнез;
лекарственная непереносимость;
реакция на ИЛС;
трансфузиологический анамнез;
акушерско-гинекологический анамнез (для женщин);
метрические данные;
профилактические прививки;
заключительные (уточненные) диагнозы;
лабораторные исследования, лучевые и радиологические исследования, функциональные исследования;
оперативные вмешательства;
скорая медицинская помощь;
лекарственное обеспечение и обеспечение изделиями медицинского назначения;
немедикаментозное лечение;
физиотерапевтическое лечение;
ЛФК и массаж;
нетрадиционные методы лечения;
лучевая терапия;
диспансеризация;
временная нетрудоспособность;
инвалидность;
сведения из регистров;
информация, составляющая врачебную тайну (факт обращения за медицинской помощью; состояние здоровья; сведения о наличии заболеваний; диагноз; методы оказания медицинской помощи; риски, связанные с медицинским вмешательством; альтернативы предполагаемому медицинскому вмешательству; иные сведения личного характера; информация о результатах патологоанатомического исследования);
иные данные, необходимые для медицинского обслуживания пациентов, регистрации и рассмотрения их обращений.
6.6. Персональные данные иных субъектов включают данные, необходимые для исполнения взаимных прав и обязанностей между учреждением здравоохранения и контрагентом.
ГЛАВА 7
ПРАВА СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
7.1. Субъект персональных данных имеет право:
7.1.1. на отзыв своего согласия, если для обработки персональных данных Учреждение здравоохранения обращалось к субъекту персональных данных за получением согласия.
Субъект персональных данных в любое время без объяснения причин может отозвать свое согласие в порядке, установленном статьей 14 Закона, либо в форме, посредством которой получено его согласие.
Учреждение здравоохранения обязуется в пятнадцатидневный срок после отзыва согласия прекратить обработку персональных данных, удалить их и уведомить об этом субъекта персональных данных.
Учреждение здравоохранения отказывает в прекращении обработки персональных данных, если такая обработка осуществляется на ином правовом основании;
7.1.2. На получение информации, касающейся обработки своих персональных данных учреждением здравоохранения, содержащей:
место нахождения учреждения здравоохранения;
подтверждение факта обработки персональных данных обратившегося лица учреждением здравоохранения;
персональные данные и источник их получения;
правовые основания и цели обработки персональных данных;
срок, на который дано согласие (если обработка персональных данных осуществляется на основании согласия);
наименование и место нахождения уполномоченного лица (уполномоченных лиц);
иную информацию, предусмотренную законодательством.
Субъекту персональных данных не требуется обосновывать свой интерес к запрашиваемой информации.
Учреждение здравоохранения отказывает в предоставлении запрашиваемой информации в случаях, предусмотренных законодательством;
7.1.3. Требовать от учреждения здравоохранения внесения изменений в свои персональные данные в случае, если персональные данные являются неполными, устаревшими или неточными. В этих целях субъект персональных данных прилагает соответствующие документы и (или) их заверенные в установленном порядке копии, подтверждающие необходимость внесения изменений в персональные данные.
Учреждение здравоохранения отказывает в изменении персональных данных, если из представленной информации не вытекает, что персональные данные субъекта являются неполными, устаревшими или неточными;
7.1.4. на получение от учреждения здравоохранения информации о предоставлении своих персональных данных, обрабатываемых учреждением здравоохранения, третьим лицам. Такая информация может быть получена один раз в календарный год бесплатно, если иное не предусмотрено Законом и иными законодательными актами.
Учреждение здравоохранения отказывает в предоставлении запрашиваемой информации, если обработка персональных данных осуществляется в соответствии с законодательством об оперативно-розыскной деятельности, уголовно-процессуальным законодательством и в иных случаях, предусмотренных законодательством;
7.1.5. требовать от учреждения здравоохранения бесплатного прекращения обработки своих персональных данных, включая их удаление.
При отсутствии технической возможности удаления персональных данных учреждение здравоохранения обязано принять меры по недопущению дальнейшей обработки персональных данных, включая их блокирование, и уведомить об этом субъекта персональных данных.
Учреждение здравоохранения может отказать в прекращении обработки персональных данных и (или) их удалении при наличии оснований для обработки персональных данных, предусмотренных Законом и иными законодательными актами;
7.1.6. на обжалование действий (бездействия) и решений учреждения здравоохранения, нарушающих его права при обработке персональных данных, в порядке, установленном законодательством. Если субъект персональных данных полагает, что его права были нарушены учреждением здравоохранения, он может обратиться к учреждению здравоохранения по адресу электронной почты:
Субъект персональных данных также наделен правом обратиться за защитой нарушенных прав, свобод и законных интересов субъекта персональных данных в Национальный центр защиты персональных данных с жалобой на действия (бездействие) учреждения здравоохранения.
7.2. Для реализации указанных прав субъекту персональных данных необходимо направить в учреждение здравоохранения заявление в письменной форме по почтовому адресу, адресу электронной почты указанному в подпункте 1.3 пункта 1 настоящей Политики, или в виде электронного документа, подписанного электронной цифровой подписью, а в случае реализации права на отзыв согласия – в форме, в которой такое согласие было получено. Такое заявление должно содержать следующую информацию:
ФИО и адрес места жительства (места пребывания) субъекта персональных данных;
дату рождения субъекта персональных данных;
идентификационный номер субъекта персональных данных, при отсутствии такого номера – номер документа, удостоверяющего личность субъекта персональных данных, в случаях, если эта информация указывалась субъектом персональных данных при даче своего согласия учреждению здравоохранения или обработка персональных данных осуществляется без согласия субъекта персональных данных;
изложение сути требований субъекта персональных данных;
личную подпись либо электронную цифровую подпись субъекта персональных данных.
7.3. За содействием в реализации прав, связанных с обработкой персональных данных в учреждении здравоохранения, субъект персональных данных может обратиться к лицу, ответственному за осуществление внутреннего контроля за обработкой персональных данных в учреждении здравоохранения, по телефону: +375 (162) 25-56-54, либо направив сообщение на адрес электронной почты
ГЛАВА 8
КОНТРОЛЬ ЗА СОБЛЮДЕНИЕМ ЗАКОНОДАТЕЛЬСТВА И ЛОКАЛЬНЫХ АКТОВ УЧРЕЖДЕНИЯ ЗДРАВООХРАНЕНИЯ В ОБЛАСТИ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Контроль за соблюдением структурными подразделениями учреждения здравоохранения законодательства и локальных правовых актов учреждения здравоохранения в области персональных данных осуществляется с целью предотвращения и выявления нарушений, возможных каналов утечки и несанкционированного доступа к персональным данным, устранения последствий таких нарушений.
8.2. Внутренний контроль за соблюдением законодательства и локальных правовых актов учреждения здравоохранения в области персональных данных, в том числе требований к защите персональных данных осуществляется ответственным лицом.
8.3. Персональная ответственность за соблюдение требований законодательства и локальных нормативных правовых актов учреждения здравоохранения в области персональных данных в структурных подразделениях учреждения здравоохранения, а также за обеспечение конфиденциальности и безопасности персональных данных в указанных подразделениях возлагается на их руководителей.
