Обработка персональных данных

ПОЛОЖЕНИЕ 
ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕНТОВ

1.        Общие положения
1.1.            Настоящее положение принято в целях обеспечения требований защиты прав пациентов (далее по тексту – клиника) при обработке их персональных данных. 
1.2.            Положение определяет права и обязанности пациентов и сотрудников клиники, порядок использования персональных данных. Персональные данные могут обрабатываться для целей, непосредственно связанных с деятельностью клиники. Клиника собирает данные только в объеме, необходимом для достижения целей.
1.3.            Настоящее Положение разработано на основе Конституции Российской Федерации, Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных», Постановления Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановления Правительства РФ от 15.08.2008г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Федерального закона от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона от 21.11.2011 №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации». 

2.      Понятие, состав и принципы обработки персональных данных
 2.1. Основные понятия
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
 Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа третьим лицам к персональным данным каким-либо иным способом.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
2.2.     Состав персональных данных
     К персональным данным пациентов, которые обрабатываются в учреждении, относятся:
1.    фамилия, имя, отчество;
2.    дата рождения;
3.    реквизиты документа, удостоверяющего личность;
4.    адрес места жительства;
5.    реквизиты полиса медицинского страхования;
6.    сведения о наличии льгот;
7.    данные о состоянии здоровья;
8.    сведения о случаях обращения за медицинской помощью;
9.  иные документы и сведения, предоставляемые пациентами в соответствии с требованиями действующего законодательства.
 2.3. Принципы обработки персональных данных
     Обработка персональных данных осуществляется на основе принципов:
1.    законности целей и способов обработки персональных данных и добросовестности;
2.   достоверности персональных данных и их достаточности;
3.    личной ответственности сотрудников клиники за сохранность и конфиденциальность персональных данных;
5.    наличие четкой разрешительной системы доступа клиники к документам и базам данных, содержащим персональные данные.

 3.      Согласие субъекта на обработку его персональных данных
3.1.   Обработка специальных категорий персональных данных, таких как состояние здоровья, допускается только с согласия субъекта персональных данных.  Согласие должно быть получено от субъекта персональных данных в письменном виде.
3.2.    Документ, фиксирующий факт получения согласия субъекта персональных данных, включает в себя:
1.      фамилию, имя, отчество, адрес пациента, номер основного документа, удостоверяющего его личность, сведения о дате его выдачи и выдавшем органе;
2.      наименование и адрес оператора обработки персональных данных;
3.      цель обработки персональных данных;
4.      перечень персональных данных, на обработку которых дается согласие пациента;
5.      перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
6.      срок, в течение которого действует согласие, а также порядок его отзыва.
3.3.    С согласия гражданина или его законного представителя допускается передача сведений, составляющих врачебную тайну, другим гражданам, в том числе должностным лицам, в интересах обследования и лечения пациента, для проведения научных исследований, публикации в научной литературе, использования этих сведений в учебном процессе и в иных целях.
3.4. Предоставление сведений, составляющих персональные данные, без согласия гражданина или его законного представителя допускается:
1. в целях обследования и лечения гражданина, не способного из-за своего состояния выразить свою волю;
2. при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
3. по запросу органов дознания и следствия и суда в связи с проведением расследования или судебным разбирательством;
4. в случае оказания помощи несовершеннолетнему в возрасте, установленном частью второй статьи 24 «Основ законодательства Российской Федерации об охране здоровья граждан», для информирования его родителей или законных представителей;
5. при наличии оснований, позволяющих полагать, что вред здоровью гражданина причинен в результате противоправных действий;

4.    Перечень персональных данных пациентов, обрабатываемых ООО «Корона» 
 4.1 Обработка персональных данных пациента осуществляется в ООО «Корона» в целях организации медицинского обслуживания пациентов.
4.2 Персональные данные пациентов обрабатываются клиникой на основании Конституции Российской Федерации, Федерального закона от 27.07.2006г.  №152-ФЗ «О персональных данных», Постановления Правительства РФ от 01.11.2012г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановления Правительства РФ от 15.09.2008г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Федерального закона от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона от 21.11.2011 №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», устава ООО «Корона»,  лицензии на осуществление медицинской деятельности.

5.      Условия обработки и меры
по обеспечению безопасности персональных данных пациентов

 5.1 Клиника обрабатывает персональные данные пациента путем: сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), обезличивания, использования, уничтожения неавтоматизированным способом.
5.2    Срок обработки клиникой персональных данных пациента соответствует сроку хранения первичной медицинской документации. Пациент имеет право отозвать свое согласие на обработку его персональных данных посредством составления соответствующего письменного документа, который может быть направлен в адрес клиники по почте заказным письмом с уведомлением, либо вручен лично под расписку главному врачу клиники. В случае получения письменного заявления об отзыве согласия на обработку персональных данных, клиника обязана прекратить обработку в течение периода времени, необходимого для завершения расчетов (взаиморасчетов) по оплате оказанной пациенту медицинской помощи.
5.3 Персональные данные пациентов хранятся в помещении архива, регистратуры, кабинетов клиники, доступ в которые имеют только сотрудники клиники, имеющие право доступа к персональным данным.
5.4 Директор клиники может передавать персональные данные пациента третьим
лицам, без его согласия только в случаях, прямо предусмотренных действующим законодательством РФ. При передаче персональных данных пациента третьим лицам главный врач клиники предупреждает лиц, получающих данную информацию, о том, что эти данные могут быть использованы ими лишь в целях, для которых персональные данные сообщены, и требует от этих лиц письменное подтверждение соблюдения этого условия. 
5.5 Персональные данные пациента уточняются, в случае их изменения, ежегодно при первом посещении пациентом клиники в соответствующем году.
5.6 В случае обнаружения факта несоблюдения условий хранения носителей персональных данных, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, администрацией клиники проводится разбирательство и по результатам этого разбирательства составляется соответствующий акт.
5.7 Персональные данные пациентов являются конфиденциальной информацией, не подлежащей разглашению, и не могут быть использованы для целей, не перечисленных в п. 4.1 настоящего Положения. Не допускается распространение персональных данных пациента без его письменного согласия или наличия иного законного основания.
5.8 При хранении материальных носителей персональных данных сотрудниками клиники должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
5.9 Персональные  данные   пациентов  хранятся  на  бумажных  носителях  в   помещении регистратуры. Для этого используются специально оборудованные шкафы и сейфы. Медицинские карты пациентов, прошедших лечение хранятся в архиве клиники. 
5.10 Неавтоматизированная обработка персональных данных пациентов должна осуществляться сотрудниками клиники с учетом особенностей и правил обработки персональных данных, предусмотренных постановлением Правительства РФ от 15.09.2008г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и в соответствии с Правилами обработки персональных данных (политикой) клиники.
5.11 Приказом директора клиники назначаются сотрудники, ответственные за хранение документов, содержащих персональные данные пациентов.
5.12 Иные права, обязанности, действия работников, в трудовые обязанности которых входит обработка персональных данных пациентов, определяются должностными инструкциями.

6.      Права пациентов
6.1 Пациент имеет право на получение при обращении в клинику или при направлении им письменного запроса в клинику (запрос должен содержать номер основного документа, удостоверяющего личность пациента или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись пациента или его законного представителя) следующей информации:
·      Подтверждение факта обработки персональных данных клиникой, а также цель такой обработки;
·      Сведения об операторе (ООО «Корона»)
·      Способы обработки персональных данных, применяемые в клинике;
·      Сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
·      Перечень обрабатываемых персональных данных и источник их получения;
·      Сроки обработки персональных данных, в том числе сроки их хранения;
·      Сведения о том, какие юридические последствия для пациента может повлечь за собой обработка его персональных данных.
Пациент также имеет право на ознакомление со своими персональными данными, обрабатываемыми клиникой, при личном обращении или направлении письменного запроса (запрос должен содержать номер основного документа, удостоверяющего личность пациента или его законного представителя, сведения о дате выдаче указанного документа и выдавшем его органе и собственноручную подпись пациента или его законного представителя).
Пациент вправе требовать уточнения своих персональных данных в случае, если персональные данные являются неполными, устаревшими. недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки и пациент предоставил соответствующие сведения, подтверждающие данный факт.
6.2 Если пациент считает, что клиника осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, он вправе обжаловать действия или  бездействие клиники в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

7.  Обязанности клиники в отношении обработки персональных данных пациентов
7.1 Клиника при обработке персональных данных пациентов принимает необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, копирования, распространения персональных данных, а также от иных неправомерных действий.
7.2 Клиника осуществляет передачу персональных данных пациента только в соответствии с настоящим Положением и действующим законодательством РФ.
7.3  Клиника обязана в порядке, предусмотренном п.6.1 настоящего Положения, сообщить пациенту или его законному представителю информацию о наличии его персональных данных, а также предоставить возможность ознакомления с ними при обращении пациента или его законного представителя либо в течение десяти рабочих дней с даты получения запроса пациента или его законного представителя. В случае отказа в предоставлении пациенту или его законному представителю при обращении либо получении запроса пациента или его законного представителя информации о наличии персональных данных о соответствующем пациенте, а также таких персональных данных клиника обязана дать в письменной форме мотивированный ответ, содержащий ссылку на положение ч. 5 ст. 14 Федерального закона «О персональных данных» или иного действующего нормативного акта, являющееся основанием для такого отказа, в срок, не превышающий семи рабочих дней со дня обращения пациента или его законного представителя в клинику либо с даты получения запроса субъекта персональных данных или его законного представителя.
7.4 Клиника обязана внести по требованию пациента необходимые изменении по предоставлении пациентом его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему пользователю и обработку которых осуществляет клиника, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах клиника уведомляет пациента или его законного представителя третьих лиц, которым персональные данные этого пациента были переданы.
7.5  В случае выявления недостоверных персональных данных или неправомерных действий с ними клиника  при обращении или по запросу пациента или его законного представителя либо уполномоченного органа по защите нрав субъектов персональных данных осуществляет проверку фактов, изложенных в обращении.
7.6  В случае подтверждения факта недостоверности персональных данных клиника на основании документов, представленных пациентом или его законным представителем, либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные.
7.7 В случае выявления неправомерных действий с персональными данными, клиника  в срок, не превышающий трех рабочих дней с даты такого выявления, обязана устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений клиника в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязана уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных клиника уведомляет пациента или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, - также указанный орган.
7.8  В случае прямого отказа пациента от услуг клиники, выраженного в письменной форме, клиника прекращает обработку его персональных данных, уничтожает бумажные носители информации о персональных данных пациента. Уничтожение персональных данных производится клиникой в общем порядке при условии, что срок хранения медицинской документации закончился.

8. Ответственность ООО «Корона» 
8.1 Защита прав пациентов, установленных настоящим Положением и законодательством РФ, осуществляется судом и уполномоченным органом по защите прав субъектов персональных данных.
8.2 В случае нарушения норм, регулирующих обработку персональных данных пациента клиники, лица, виновные в нарушении требований действующего законодательства несут предусмотренную законодательством РФ ответственность.

 

Директор   Галиакберов З.С.