ПОЛОЖЕНИЕ О ЗАЩИТЕ И ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
Положение о защите и обработке персональных данных пациентов в ООО «ИСТОК 799»
1. Общая часть
- Настоящее положение определяет порядок получения, обработки и защиты персональных данных граждан В ООО «ИСТОК 799» (далее Медицинский Центр)
- Настоящее «Положение об обработке и защите персональных данных Пациентов (в дальнейшем «Положение») разработано на основании Конституции Российской Федерации, Трудового кодекса, федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», и других действующих нормативно-правовых актов Российской Федерации.
- Сбор, хранение, использование и распространение информации о состоянии здоровья пациента без письменного его согласия не допускаются. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75-летнего срока хранения, если иное не определено законом.
- Лица, в обязанность которых входит ведение персональных данных пациентов, обязаны обеспечить возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
- Персональные данные не могут быть использованы в целях:
- причинения имущественного и морального вреда гражданам;
- затруднения реализации прав и свобод граждан Российской Федерации
1.6. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о пациентах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
1.7. Настоящее Положение утверждается директором Медицинского центра и является обязательным для исполнения всеми сотрудниками, имеющими доступ к персональным данным пациента.
Основные понятия, используемые в настоящем Положении
Медицинский центр – юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных подлежащих обработке, действия (операции), совершаемые с персональными данными.
Пациент - (субъект персональных данных) – предусмотренные Уставом физические лица. Лица состоящие (имеющие право состоять) в гражданско-правовых отношениях с Медицинским центром.
Врачебная тайна – соблюдение конфиденциальности информации о факте обращения за медицинской помощью, состояния здоровья пациента, диагноза его заболевания и иных сведений, полученных при его обследовании и лечении.
Персональные данные – любая информация, относящая прямо или косвенно определенному или определяемому субъекту персональных данных.
Документы, содержащие персональные данные пациента – документы, необходимые для осуществления действий в целях оказания услуг по подготовке и выдаче документов, необходимых в ходе оказания услуг.
Обработка персональных данных пациента – любое действие или совокупность действий совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных пациента.
Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных – действия направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному3 субъекту персональных данных.
Блокировани5е персональных данных – временное прекращение обработки персональных данных.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Конфиденциальность персональных данных – операторы и иные лица получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законодательством.
Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа, в том числе с использованием штатных средств, предоставляемых информационными системами персональных данных.
Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с Федеральным законодательством не распространяется требование соблюдения конфиденциальности.
3. Права и обязанности пациента
3.1 Пациент имеет право:
- получения полной информации о своих персональных данных и обработке персональных данных, состоянии и прогнозе своего здоровья;
- доступа к своим медицинским данным с помощью специалиста, ответственного за ведение данных;
- требовать об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований и настоящего Положения;
- заявить в письменной форме о своем несогласии с соответствующим обоснованием такого;
- свободного бесплатного доступа к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законом;
- определять своих представителей для защиты своих персональных данных.
3.2 . Пациент обязан:
- Передавать лицу, обрабатывающему персональные данные, комплекс достоверных, документированных персональных данных, информацию о состоянии здоровья.
- Своевременно сообщать лицу, использующему персональные данные пациента, об их изменениях.
3.3. Пациент не должен отказываться от своих прав на сохранение и защиту тайны.
- Перечень документов и сведений, содержащих персональные данные пациента
- В соответствии с Федеральным законом РФ от 21 ноября 2011 г. N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», локальными нормативными актами Медицинского центра, лицо, обратившиеся, предъявляет регистраторам следующие документы, содержащие его персональные данные:
- паспорт или иной документ, удостоверяющий личность, содержащий сведения о месте регистрации (месте жительства), сведения о семейном положении;
- страховое свидетельство ДМС содержащее сведения о номере и серии страхового свидетельства.
4.2. В перечень документов и сведений, содержащих персональные данные, включаются:
- сведения о состоянии здоровья;
- анкетные и паспортные данные;
- семейное положение;
- другая информация.
5. Требования по обработке персональных данных пациентов. Сбор, обработка и хранение персональных данных
5.1. В целях обеспечения прав и свобод человека и гражданина лица, участвующие в обработке персональных данных пациента, обязаны соблюдать следующие общие требования:
- обработка персональных данных пациента может осуществляться лицами имеющими допуск исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, контроля количества и качества выполняемой работы;
- при определении объема и содержания обрабатываемых персональных данных пациента лица, участвующие в процессе обработки, должны руководствоваться Конституцией РФ, Федеральным законом РФ от 21 ноября 2011 г. N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и иными федеральными законами;
- все персональные данные пациента следует получать у него самого или у его представителя.
5.2. Если персональные данные пациента возможно получить только у третьей стороны, то пациент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
5.3.Работник Медицинского центра должен сообщить пациенту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа пациента дать письменное согласие на их получение.
5.4. Защита персональных данных пациента от неправомерного их использования или утраты должна быть обеспечена Медицинским центром за счет своих средств в порядке, установленном федеральным законом.
5.5. Пациенты и их представители должны быть ознакомлены под роспись с документами организации, устанавливающими порядок обработки персональных данных пациента, а также об их правах и обязанностях в этой области.
5.6. Принципы обработки персональных данных
Обработка персональных данных должна осуществляться на основе принципов:
- законности целей и способов обработки персональных данных и добросовестности;
- соответствия целей обработки персональных данных целям, заранее определенным при сборе персональных данных;
- достоверности персональных данных и их достаточности;
- личной ответственности сотрудников медицинского центра за сохранность и конфиденциальность персональных данных, а также носителей этой информации
- наличие четкой разрешительной системы доступа сотрудников Медицинского центра к документам и базам данных, содержащим персональные данные.
5.7. Порядок получения персональных данных:
5.7.1 Получение персональных данных преимущественно осуществляется путем представления их самим пациентом, на основании его письменного согласия, за исключением случаев прямо предусмотренных действующим законодательством РФ.
В случаях, предусмотренных Федеральным законодательством, обработка персональных данных осуществляется только с согласием пациента в письменной форме.
Согласие пациента в письменной форме на обработку его персональных данных должно включать в себя, в частности:
- Фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- Фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя.
- Наименование и адрес Медицинского центра.
5.8. Обработка, передача и хранение персональных данных пациента:
5.8.1. Все действия по обработке персональных данных пациента осуществляются только работниками Медицинского центра, допущенными приказом директора к работе с персональными данными пациента, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.
5.9. Этапность получения и обработки персональных данных пациента.
5.9.1. При первичном посещении медицинского центра пациентом информация заносится в базу данных в регистратуре. На этом этапе регистратор отмечает паспортные данные, контактный телефон, место работы и должность, Ф.И.О специалиста к которому желает попасть пациент. Оформляется амбулаторная карта, которая является основным документом, содержащим персональные данные пациента, в которой фиксируются выше перечисленные персональные данные. Информация о пациенте хранится как на электронном, так и на бумажном носителе информации о персональных данных. Регистратор не вправе получать информацию о состоянии здоровья пациента. Ответственным на данном этапе хранения персональных данных является регистратор, фиксирующий персональные данные.
5.9.2. Амбулаторная карта передается врачу. Врач собирает информацию о состоянии здоровья пациента, фиксирует в амбулаторную карту. Ответственным за неразглашения информации о состоянии здоровья является врач. При передаче персональных данных пациента врач должен соблюдать следующие требования:
- не сообщать персональные данные третьей стороне без письменного согласия пациента, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью пациента, а также в случаях, установленных федеральным законом;
- не сообщать персональные данные пациента в коммерческих целях без его письменного согласия;
- предупредить лиц, получающих персональные данные пациента, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные пациента, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными пациента в порядке, установленном федеральными законами;
- разрешать доступ к персональным данным пациента только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные пациента, которые необходимы для выполнения конкретных функций.
5.9.3. По окончании приема медицинская карта сдается врачом-специалистом в регистратуру Медицинского центра.
5.9.4. После получения медицинских услуг носитель, содержащий персональные данные о состоянии здоровья, диагнозе, проведенном лечении и рекомендациях хранится в регистратуре медицинского центра.
5.10. Все меры конфиденциальности при сборе, обработке и хранении персональных данных пациента распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
5.11. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.
5.12. С работниками, ответственными за хранение персональных данных, а также с работниками, владеющими персональными данными в силу своих должностных обязанностей, заключаются Соглашения о неразглашении персональных данных пациентов. Экземпляр Соглашения хранится в отделе кадров. В должностные инструкции данных работников включается пункт об обязанности сохранения врачебной тайны.
5.13. Автоматизированная обработка и хранение персональных данных пациентов допускаются только после выполнения всех основных мероприятий по защите информации.
5.14. Журналы и другие формы медицинской документации, находящиеся в обработке и содержащие персональные данные пациентов, оформляются и хранятся в подразделениях медицинского центра в соответствии с требованиями действующих локальных приказов.
Прочие документы, используемые при оказании медицинской помощи и содержащие персональные данные пациентов (акты, направления, договоры, квитанции и пр.), после оформления передаются работнику, допущенному к работе с персональными данными.
Хранение оконченных производством документов, содержащих персональные данные пациентов, осуществляется в архиве медицинского центра.
5.15. Помещения, в которых хранятся персональные данные пациента, должны быть оборудованы надежными замками и сигнализацией на вскрытие помещений.
5.16. Проведение уборки помещения должно производиться в присутствии ответственного лица.
6. Доступ к персональным данным пациента
6.1. Доступ к персональным данным физического лица имеют должностные лица, непосредственно использующие их в служебных целях.
6.2. Уполномоченные лица имеют право получать только те персональные данные, которые необходимы для выполнения конкретных функций в соответствии с должностной инструкцией указанных лиц.
6.3. Сведения о пациенте могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением копии нотариально заверенного заявления пациента.
6.4. Персональные данные пациента могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого пациента.
7. Передача персональных данных граждан третьим лицам
7.1. Передача персональных данных пациента третьим лицам осуществляется только с письменного согласия пациента, с подтвержденной визой директора, за исключение случаев6
- по запросу органов дознания, следствия, прокуратуры и суда в связи с проведением расследования или судебным разбирательством, в соответствии с Законодательством РФ;
- при наличии оснований, позволяющих полагать, что права и интересы гражданина могут быть нарушены противоправными действиями других лиц;
- в иных случаях, прямо предусмотренных Федеральным законодательством.
Лица, которым в установленном Федеральным законом № 152-ФЗ порядке переданы сведения, составляющие персональные данные гражданина, несут дисциплинарную, административную или уголовную ответственность за разглашение полученных данных в соответствии с законодательством Российской Федерации.
7.2. Передача персональных данных гражданина третьим лицам осуществляется на основании запроса третьего лица с разрешающей визой директора при условии соблюдения требований, предусмотренных п.7.1. настоящего Положения.
Медицинский центр обеспечивает ведение журнала учета выданных персональных данных пациентов, в котором регистрируются поступившие запросы, фиксируются сведения о лице. Направившем запрос, дата передачи персональных данных, а также отмечается, какая именно информация была передана. В случае если лицо, обратившееся с запросом, не уполномочено Федеральным законодательством на получение персональных данных, Медицинский центр обязан отказать в предоставлении персональных данных. В данном случае лицу, обратившемуся с запросом, выдается мотивированный отказ в предоставлении персональных данных в письменной форме, копия отказа хранится в Медицинском центре.
8. Защита персональных данных
8.1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.
Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
- обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
- соблюдение конфиденциальности информации ограниченного доступа,
- реализацию права на доступ к информации.
8.2. Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий руководителями и специалистами компании.
8.3. Для защиты персональных данных пациента необходимо соблюдать ряд мер:
- наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
- определение и регламентация состава лиц, имеющих право доступа (входа) в помещение, в котором находятся персональные данные пациента
- организация порядка уничтожения информации;
- своевременное выявление нарушений требований разрешительной системы доступа;
8.4. Бумажные носители информации могут выдаваться на рабочие места, только работникам Медицинского центра, допущенным приказом директора к работе с персональными данными пациента.
8.5. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности медицинского центра, посетители, работники других организационных структур. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения источников информации о состоянии здоровья пациента.
8.6. Для защиты персональных данных пациентов необходимо соблюдать ряд мер:
-порядок приема, учета и контроля деятельности посетителей;
-технические средства охраны, сигнализации;
-порядок охраны территории, зданий, помещений;
-требования к защите информации при опросе и сборе анамнеза.
8.7. Для обеспечения безопасности персональных данных пациента при неавтоматизированной обработке предпринимаются следующие меры:
8.8.1. все действия по обработке персональных данных работника осуществляются только работниками Медицинского центра, допущенными приказом главного врача к работе с персональными данными пациента, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.
8.8.2. обработка персональных данных осуществляется с соблюдением порядка, предусмотренного Постановлением Правительства от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
8.9. Для обеспечения безопасности персональных данных пациентов при автоматизированной обработке предпринимаются следующие меры:
8.9.1. Персональные компьютеры, с которых осуществляется доступ к персональным данным, защищены паролями доступа. Пароли устанавливаются программистом и сообщаются индивидуально работнику, допущенному к работе с персональными данными и осуществляющему обработку персональных данных пациентов на данном ПК.
8.9.2.Обработка персональных данных осуществляется с соблюдением порядка, предусмотренного Постановлением Правительства от 01.11. 2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
8.10. Хранение персональных данных пациентов осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Хранение документов, содержащих персональные данные пациентов, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. По истечении установленных сроков хранения документы подлежат уничтожению в порядке, предусмотренном приказами по архивному делу.
9. Право на обжалование действий или бездействий Медицинского центра
9.1. Если пациент или его законный представитель считает, что Медицинский центр осуществляет обработку его персональных данных с нарушением требований Федерального Закона №152-ФЗ или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействия Медицинского центра в уполномоченный орган по защите прав субъектов персональных данных (Федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи) или в судебном порядке.
9.2. Пациент имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Моральный вред, причиненный пациенту вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом №152-ФЗ, а также требований к защите персональных данных, установленных в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
10. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных граждан
10.1. Лица виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данным пациента, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с Федеральным законодательством.
10.2. Работники Медицинского центра, допущенные к обработке персональных данных пациента, за разглашение полученной в ходе своей трудовой деятельности информации, несут дисциплинарную, административную или уголовную ответственность в соответствии с действующим законодательством Российской Федерации.
11. Заключительные положения
11.1. Настоящее Положение вступает в силу с момента его утверждения.
11.2. При необходимости приведения настоящего Положения в соответствии с вновь принятыми законодательными актами, изменения вносятся на основании Приказа Директора.
11.3. Настоящее Положение распространяется на всех субъектов правоотношений с Медицинским центром, а также работников Медицинского центра, имеющих доступ к персональным данным пациента.
11.4. Работники Медицинского центра подлежат ознакомлению с данным документом в порядке, предусмотренным Приказа Директора, под личную подпись.
11.5 В обязанности работников, осуществляющих первичный сбор персональных данных пациента, входит получение согласия пациента на обработку его персональных данных под личную подпись.