Положение об обработке и защите персональных данных

УТВЕРЖДЕНО
Приказом Генерального директора 
ООО «КДЛ «ДИАЛАЙН»

№ 88 от «31» декабря 2014 года

ПОЛОЖЕНИЕ
ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕНТОВ 
ООО «КДЛ «ДИАЛАЙН»

1.ОБЩАЯ ЧАСТЬ
1.1. Настоящее положение определяет порядок создания, обработки и защиты персональных данных пациентов ООО «КДЛ «ДИАЛАЙН» (далее по тексту Оператор).
1.2. Основанием для разработки данного локального нормативно-правового акта являются:
- Конституция РФ от 12.12.1993г (ст.ст. 2, 17-24, 41);
- Федеральный закон Российской Федерации от 21.11.2011 №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
- Федеральный закон Российской Федерации от 29.11.2010 №326-ФЗ «Об обязательном медицинском страховании в Российской Федерации»;
- Федеральный закон от 27.07.2006 №152-ФЗ «О персональных данных»;
- Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и защите информации»;
- Постановление Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Постановление Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Приказ ФСТЭК России от 18.02.2013 №21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных" (Зарегистрировано в Минюсте России 14.05.2013 №28375).
1.3. Целью настоящего Положения является определение порядка обработки персональных данных пациентов Оператора, обеспечение защиты прав и свобод при их обработке, а также установление ответственности должностных лиц, имеющих доступ к персональным данным пациентов, за невыполнение требований норм, регулирующих обработку и их защиту.
1.4. Персональные данные пациентов относятся к категории конфиденциальной информации.

2.ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ, ИСПОЛЬЗУЕМЫЕ В НАСТОЯЩЕМ ПОЛОЖЕНИИ
2.1. Для целей настоящего Положения в тексте применяются следующие термины и определения:
Врачебная тайна – соблюдение конфиденциальности информации о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иных сведений, полученных при его обследовании и лечении;
Персональные данные пациента - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, серия и номер паспорта, адрес регистрации и фактического проживания, идентификационный номер налогоплательщика (ИНН), страховое свидетельство государственного пенсионного страхования (СНИЛС), семейное, социальное, образование, профессия, должность, специальность, серия и номер страхового медицинского полиса и его действительность, сведения о состоянии здоровья, информация об оказанных медицинских услугах, в том числе о проведенных лабораторных анализах и исследованиях и их результатах;
Документы, содержащие персональные сведения пациента – формы медицинской и иной учетно-отчетной документации, включающие сведения о персональных данных.
Обработка персональных данных пациента - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных сотрудника; 
Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
Конфиденциальность персональных данных - обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;
Несанкционированный доступ (несанкционированные действия) - доступ к информации или действия с информацией, нарушающие правила разграничения доступа, в том числе с использованием штатных средств, предоставляемых информационными системами персональных данных;
Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

3. ОБЩИЕ ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕНТОВ
3.1. Обработка персональных данных пациента осуществляется на основе принципов:
а) законности целей и способов обработки персональных данных и добросовестности;
б) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Оператора;
в) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
г) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
д) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных;
3.2. В целях обеспечения прав и свобод человека и гражданина Оператор и его представители при обработке персональных данных пациента обязаны соблюдать следующие общие требования:
1) Обработка персональных данных пациента может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, для осуществления государственной политики в сфере здравоохранения, обеспечивающей необходимые условия при реализации конституционных прав гражданина на охрану здоровья, получение медицинской помощи, лекарственного обеспечения, реализации проектов и целевых программ в сфере здравоохранения, участия в реализации государственной политики в области обязательного медицинского страхования граждан в соответствии с законодательством Российской Федерации, контроля количества и качества оказанной пациенту медицинской помощи;
2) Все персональные данные пациента следует получать у него самого или его полномочного представителя. Если персональные данные пациента, возможно, получить только у третьей стороны, то пациент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие; 
3) При определении объема и содержания, обрабатываемых персональных данных пациента, Оператор должно руководствоваться Конституцией Российской Федерации, Федеральным законом №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», законодательством РФ в сфере защиты персональных данных и обработки информации, и иными Федеральными законами и локальными нормативными актами в области защиты персональных данных;
4) Оператор не имеет права получать и обрабатывать персональные данные пациента о его политических, религиозных и иных убеждениях и частной жизни;
5) Оператор не имеет права получать и обрабатывать персональные данные пациента о его членстве в общественных объединениях или его профсоюзной деятельности;
6) При принятии решений, затрагивающих интересы пациента, Оператор не имеет права основываться на персональных данных пациента, полученных исключительно в результате их автоматизированной обработки или электронного получения;
7) Защита персональных данных пациента от неправомерного их использования или утраты должна быть обеспечена Оператором за счет его средств в порядке, установленном федеральным законом и другими нормативными документами;
8) Пациенты или их представители по их требованию должны быть ознакомлены с документами Оператора, устанавливающими порядок обработки персональных данных пациентов, а также об их правах и обязанностях в этой области.

4. ПОЛУЧЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕНТОВ
4.1. Получение персональных данных преимущественно осуществляется путем представления их пациентом, на основании его письменного согласия, за исключением случаев прямо предусмотренных действующим законодательством РФ.
Письменное согласие пациента на обработку своих персональных данных должно включать в себя:
1) фамилию, имя, отчество, адрес пациента - субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) наименование (фамилию, имя, отчество) и адрес Оператора, получающего согласие пациента - субъекта персональных данных;
3) цель обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Оператором способов обработки персональных данных;
6) срок, в течение которого действует согласие, а также порядок его отзыва.
Для обработки персональных данных, содержащихся в согласии в письменной форме пациента на обработку его персональных данных, дополнительное согласие не требуется.
В случае недееспособности пациента или недостижения пациентом возраста 15 лет согласие на обработку его персональных данных дает в письменной форме его законный представитель.
4.2. В случае необходимости проверки персональных данных пациента Оператор должно заблаговременно сообщить пациенту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа пациента дать письменное согласие на их получение.

5. ПОРЯДОК ХРАНЕНИЯ И ИСПОЛЬЗОВАНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕНТОВ
5.1. Информация персонального характера пациента обрабатывается с соблюдением требований российского законодательства о защите персональных данных.
5.2. Доступ к персональным данным пациентов имеют работники Оператора, допущенные к работе с персональными данными работников приказом ООО «КДЛ «ДИАЛАЙН». В должностные инструкции данных работников включается пункт об обязанности сохранения врачебной тайны. 
5.3. Обработка персональных данных пациентов осуществляется смешанным путем:
- неавтоматизированным способом обработки персональных данных;
- автоматизированным способом обработки персональных данных (с помощью ПЭВМ и специальных программных продуктов).
5.4. Персональные данные пациентов преимущественно хранятся на бумажных носителях.
Основным документом, содержащим персональные данные пациента, является медицинская карта амбулаторного больного и договор оказания медицинских услуг.
Медицинская карта амбулаторного больного заводится на каждого обратившегося в поликлинику за оказанием врачебной медицинском помощи при первом обращении и хранится в регистратуре подразделения Оператора. Медицинская карта передается врачам-специалистам при личном обращении пациента в, по окончании приема медицинская карта сдается медсестрой врача-специалиста в регистратуру.
Журналы и другие формы медицинской документации, содержащие персональные данные пациентов, оформляются и хранятся в подразделениях Оператора.
Прочие документы, используемые при оказании медицинской помощи и содержащие персональные данные пациентов (акты, направления, договоры, квитанции и пр.), после оформления передаются работнику, допущенному к работе с персональными данными, в должностные обязанности которого входит обработка этих данных.
Хранение оконченных производством документов, содержащих персональные данные пациентов, осуществляется в архиве Оператора.
5.5. Персональные данные пациентов также хранятся в электронном виде на сервере баз данных ООО «КДЛ «ДИАЛАЙН». Доступ к электронным базам данных ограничен паролем.
5.6. Для обеспечения хранения персональных данных пациентов определяются следующие оснащенные средствами защиты места:
- регистратура ЦЛД/медицинских центров, регистратура лаборатории Оператора, по окончании рабочего дня закрывается на ключ;
- архив ООО «КДЛ «ДИАЛАЙН».
Оператор пользуется услугами вневедомственной охраны и здания Оператора находится под его охраной. Также здания снабжены пожарной сигнализацией.
5.7. Хранение персональных данных пациентов осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Хранение документов, содержащих персональные данные пациентов, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. По истечении установленных сроков хранения документы подлежат уничтожению в порядке, предусмотренном приказами по архивному делу.
5.8. Ответственными за организацию и осуществление хранения персональных данных пациентов Оператора являются руководители структурных подразделений.
5.9. Лица, получающие персональные данные пациентов, обязаны соблюдать режим конфиденциальности, а также с учетом причиненного гражданину ущерба несут за разглашение врачебной тайны дисциплинарную, административную или уголовную ответственность в соответствии с законодательством Российской Федерации

6. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕНТОВ
6.1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
- обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
- соблюдение конфиденциальности информации ограниченного доступа,
- реализацию права на доступ к информации.
6.2. Для обеспечения безопасности персональных данных пациента при неавтоматизированной обработке предпринимаются следующие меры:
6.2.1. Все действия по обработке персональных данных работника осуществляются только работниками Оператора, допущенными приказом к работе с персональными данными пациента, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции;
6.2.2. Обработка персональных данных осуществляется с соблюдением порядка, предусмотренного Постановлением Правительства от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
6.3. Для обеспечения безопасности персональных данных пациентов при автоматизированной обработке предпринимаются следующие меры:
6.3.1. Персональные компьютеры, с которых осуществляется доступ к персональным данным, защищены паролями доступа. Пароли устанавливаются системным администратором и сообщаются индивидуально работнику, допущенному к работе с персональными данными и осуществляющему обработку персональных данных пациентов на данном ПК.

7. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕНТОВ ТРЕТЬИМ ЛИЦАМ
7.1. Передача персональных данных пациентов третьим лицам осуществляется Оператором только с письменного согласия пациента, с подтверждающей визой руководителя, за исключением случаев, предусмотренных статьей 13 ФЗ №323:
1) в целях проведения медицинского обследования и лечения гражданина, который в результате своего состояния не способен выразить свою волю, с учётом положений пункта 1 части 9 статьи 20 указанного Федерального закона;
2) при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
3) по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органа уголовно- исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля за поведением условно осужденного, осужденного, в отношении которого отбывание наказания отсрочено, и лица, освобожденного условно-досрочно;
4) в случае оказания медицинской помощи несовершеннолетнему в соответствии с пунктом 2 части 2 статьи 20 указанного Федерального закона, а также несовершеннолетнему, не достигшему возраста, установленного частью 2 статьи 54 указанного Федерального закона, для информирования одного из его родителей или иного законного представителя;
5) в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий;
6) в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов, кадровых служб и военно-врачебных комиссий федеральных органов исполнительной власти, в которых федеральным законом предусмотрена военная и приравненная к ней служба;
7) в целях расследования несчастного случая на производстве и профессионального заболевания;
8) при обмене информацией медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства Российской Федерации о персональных данных;
9) в целях осуществления учета и контроля в системе обязательного социального страхования;
10) в целях осуществления контроля качества и безопасности медицинской деятельности в соответствии с указанным Федеральным законом.
Лица, которым в установленном законом порядке переданы сведения, составляющие врачебную тайну, наравне с медицинскими и фармацевтическими работниками несут ответственность за разглашение врачебной тайны дисциплинарную, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.
7.2. Оператор обеспечивает ведение журнала учета выданных персональных данных пациентов, в котором регистрируются поступившие запросы, фиксируются сведения о лице, направившем запрос, дата передачи персональных данных, а также отмечается, какая именно информация была передана.
В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом на получение персональных данных пациента, либо отсутствует письменное согласие пациента на предоставление его персональных данных, Оператор обязан отказать в предоставлении персональных данных. В данном случае лицу, обратившемуся с запросом, выдается в мотивированный отказ в предоставлении персональных данных в письменной форме, копия отказа хранится у Оператора.
7.3. В целях выполнения необходимых условий для реализации конституционных прав граждан на охрану здоровья, получение медицинской помощи возможна передача персональных данных пациентов при наличии письменного согласия пациента, в уполномоченные региональные и федеральные органы исполнительной власти по отрасли здравоохранения и социального развития, федеральные и региональные Фонды, страховые медицинские организации, другие медицинские и фармацевтические организации, участвующие в реализации Программы государственных гарантий оказания гражданам бесплатной медицинской помощи, в том числе государственной политики в области обязательного медицинского страхования граждан и ДМС, реализации приоритетных национальных проектов и целевых программ по отрасли здравоохранение, обеспечении отдельных категорий граждан необходимыми лекарственными средствами, а также работодателю – в случаях проведения профилактических медицинских осмотров в соответствии с заключенным между Оператором и работодателем пациента договором.
Передача указанных сведений и документов осуществляется с согласия пациента. Согласие пациента оформляется письменно. После получения согласия пациента дальнейшая передача указанных сведений и документов дополнительного письменного согласия не требует.

8. ОБЩЕДОСТУПНЫЕ ИСТОЧНИКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕНТОВ
8.1. Включение персональных данных пациента в общедоступные источники персональных данных (в том числе справочники, медицинскую литературу и др., а также информационные стенды для посетителей) возможно только при наличии его письменного согласия.
8.2. При обезличивании персональных данных согласие пациента на включение персональных данных в общедоступные источники персональных данных не требуется.

9. ПРАВА И ОБЯЗАННОСТИ ПАЦИЕНТА В ОБЛАСТИ ЗАЩИТЫ ЕГО ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. В целях обеспечения защиты персональных данных, хранящихся у Оператора, пациенты имеют право на:
- полную информацию об их персональных данных и обработке этих данных;
- свободный бесплатный доступ к своим персональным данным, за исключением случаев, предусмотренных федеральным законом;
Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя.
Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя.
Оператор обязан сообщить пациенту или его законному представителю информацию о наличии персональных данных, относящихся к пациенту, а также предоставить возможность ознакомления с ними пациента или его законного представителя при обращении либо в течение десяти рабочих дней с даты получения запроса пациента или его законного представителя. В случае отказа в предоставлении пациенту или его законному представителю информации о наличии персональных данных Оператор обязан дать в письменной форме мотивированный ответ в срок, не превышающий семи рабочих дней со дня обращения/ получения запроса пациента или его законного представителя;
- определение своих представителей для защиты своих персональных данных;
- требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Положения
- обжалование в суд любых неправомерных действий или бездействия Оператора при обработке и защите его персональных данных;
- иные права, предусмотренные действующим законодательством. 
9.2. Для своевременной и полной реализации своих прав на охрану здоровья пациент обязан предоставить Оператору достоверные персональные данные в объеме, необходимом Оператору для оказания ему качественной медицинской помощи.

10. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕТОВ
10.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

11. ПРОЧИЕ ПОЛОЖЕНИЯ
11.1. Настоящее Положение вступает в силу с даты его утверждения.
11.2. При необходимости приведения настоящего Положения в соответствие с вновь принятыми законодательными актами, изменения вносятся на основании приказа Генерального директора.
11.3. Настоящее Положение распространяется на всех пациентов, обращающихся за медицинской помощью в ООО «КДЛ «ДИАЛАЙН», а так же сотрудников Оператора имеющих доступ и осуществляющих перечень действий с персональными данными пациентов.
11.4. В обязанности работников осуществляющих первичный сбор персональных данных пациента входит обязательное получение согласия пациента на обработку его персональных данных.


Яндекс.Метрика