ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕНТОВ

ГБУЗ «Оренбургский клинический перинатальный центр»

  1. Общие положения
    • Настоящее Положение издано и применяется в государственном бюджетном учреждении здравоохранения «Оренбургский клинический перинатальный центр» (ГБУЗ «ОКПЦ») (далее – Учреждение) в соответствии с:
  • Федеральным законом от 27.07.2006 г. № 152-ФЗ «О персональных данных»;
  • Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Постановлением Правительства РФ от 01.11.2012 № 1119
    «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Постановлением Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».
    • Настоящее Положение определяет порядок получения, обработки учета, накопления, хранения и защиты от несанкционированного доступа (далее – НСД) и разглашения сведений, составляющих персональные данные (далее – ПДн) пациентов Учреждения.
    • Учреждение (ГБУЗ «ОКПЦ») – является оператором, осуществляющий обработку ПДн, согласно Федеральному закону от 27.07.2006 г. № 152-ФЗ «О персональных данных».
    • Целью настоящего Положения является:
  • Определение порядка обработки ПДн пациентов Учреждения, согласно Перечню персональных данных, утверждённого Приказом Главного врача;
  • Обеспечение защиты прав и свобод человека, и гражданина при обработке его ПДн, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну;
  • Установление ответственности должностных лиц, имеющих доступ к ПДн пациентов Учреждения, за невыполнение требований и норм, регулирующих обработку и защиту ПДн.
    • ПДн не могут быть использованы в целях:
  • Причинения морального вреда гражданам;
  • Затруднения реализации прав и свобод граждан РФ.
    • В отношении сведений о субъектах ПДн, позволяющих идентифицировать его личность, за исключением обезличенных и общедоступных персональных данных, в установленных федеральными законами случаях, обеспечивается конфиденциальность таких сведений.
    • В случаях, не указанных в настоящем Положении, следует руководствоваться внутренними документами или действующими федеральными законами и нормативно-правовыми актами Российской Федерации, регулирующими порядок обработки персональных данных.
    • Настоящее Положение утверждается главным врачом Учреждения и является обязательным для исполнения всеми сотрудниками, имеющими доступ к ПДн пациентов.
  1. Область действия данного положения

Данное положение предназначено для сотрудников и пациентов ГБУЗ «ОКПЦ».

  1. Основные понятия, используемые в настоящем Положении

Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.

Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Врачебная тайна – соблюдение конфиденциальности информации о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иных сведений, полученных при его обследовании и лечении.

Документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель.

Документы, содержащие персональные сведения пациента – документы, необходимые для осуществления действий в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг, а также для оформления договорных отношений.

Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения и не раскрывать третьим лицам персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законодательством.

Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа, в том числе с использованием штатных средств, предоставляемых информационными системами персональных данных.

Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных – любое действия (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных пациентов.

Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В рамках настоящего положения оператором является ГБУЗ «ОКПЦ»

Пациент (субъект ПДн) – физическое лицо, обратившееся в Учреждение с целью получения медицинского обслуживания, либо состоящее в иных гражданско-правовых отношениях с Учреждением по вопросам получения медицинских услуг.

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Персональные данные пациента – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, серия и номер паспорта, адрес регистрации и фактического проживания, идентификационный номер налогоплательщика (ИНН), страховое свидетельство государственного пенсионного страхования (СНИЛС), семейное, социальное положение, образование, профессия, должность, специальность, серия и номер страхового медицинского полиса и его действительность, номер амбулаторной карты, номер истории болезни, сведения о состоянии здоровья, в том числе группа здоровья, группа инвалидности и степень ограничения к трудовой деятельности, состояние диспансерного учета, зарегистрированные диагнозы по результатам обращения пациентов к врачу, в том числе при прохождении диспансеризации и медицинских осмотров, информация об оказанных медицинских услугах, в том числе о проведенных лабораторных анализах и исследованиях и их результатах, выполненных оперативных вмешательствах, случаях стационарного лечения и их результатах, о выданных листах временной нетрудоспособности с указанием номера листа нетрудоспособности и периода нетрудоспособности, регистрация прикрепления на территории обслуживания пациента – дата и признак прикрепления, информация о выписанных и отпущенных лекарственных средствах и изделиях медицинского назначения, информация о наличии льгот (по категориям), о документах, подтверждающих право на льготу и право на льготное лекарственное обеспечение, дата и причина смерти гражданина в случае его смерти.

Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Сотрудник (работник) – физическое лицо, состоящее в трудовых отношениях с оператором.

Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

  1. Состав обрабатываемых персональных данных

К персональным данным пациентов, которые обрабатываются в учреждении, относятся:

·      Фамилия, Имя, Отчество (в т.ч. прежние), дата и место рождения;
·      Паспортные данные или данные иного документа, удостоверяющего личность (серия, номер, дата выдачи, наименование органа, выдавшего документ) и гражданство;
·      Свидетельство о рождении (серия, номер, дата выдачи, кем выдан);
·      Характеристики, идентифицирующие физиологические особенности человека и на основе которых можно установить его личность;
·      Адрес места жительства (по паспорту и фактический);
·      Номера телефонов (мобильный, рабочий и (или) домашний);
·      Данные о состоянии здоровья (история болезни, амбулаторные карты, иные документы, содержание данные о состоянии здоровья);
·      Сведения о номере и серии страхового свидетельства государственного пенсионного страхования;
·      Сведения о страховом полисе обязательного (добровольного) медицинского страхования (в том числе данные соответствующих карточек медицинского страхования);
·      Сведения о семейном положении;
·      Сведения о социальном статусе;
·      Данные об образовании, профессии, должности и месте работы или учебы;
·      Данные о наличии инвалидности.
  1. Получение персональных данных пациента
    • Субъект ПДн принимает решение о предоставлении его ПДн и дает добровольное согласие, согласно своей воле и в своем интересе на их обработку.
    • Получение ПДн пациента преимущественно осуществляется путем представления пациентом письменного согласия на обработку ПДн (Приложение № 1), за исключением случаев прямо предусмотренных действующим законодательством РФ.
    • В случае недееспособности пациента или не достижения пациентом возраста 15 лет согласие на обработку его персональных данных дает в письменной форме его законный представитель. Законный представитель самостоятельно принимает решение о предоставлении персональных данных своего подопечного и письменного согласия на их обработку Учреждением. Форма согласия на обработку персональных данных подопечного представлена в приложении № 2 к настоящему положению.
    • В случае смерти пациента согласие на обработку его ПДн дают в письменной форме наследники пациента, если такое согласие не было дано пациентом при его жизни.
    • В случаях, предусмотренных федеральным законом, обработка ПДн осуществляется только с согласия пациента в письменной форме. Равнозначным содержащему собственноручную подпись пациента согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с Федеральным законом от 06.04.2011 г. № 63-ФЗ «Об электронной подписи» электронной подписью.
    • Документ, фиксирующий факт получения согласия субъекта на обработку его ПДн, в себя включает:
  • Фамилию, имя, отчество, адрес пациента, номер основного документа, удостоверяющего его личность, сведения о дате его выдачи и выдавшем органе;
  • Фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
  • Наименование и адрес Учреждения, получающего согласие субъекта персональных данных;
  • Цель обработки персональных данных;
  • Перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  • Перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Учреждением способов обработки персональных данных;
  • Срок, в течение которого действует согласие субъекта персональных данных;
  • Подпись субъекта персональных данных.
    • Запрещается получать и обрабатывать ПДн пациента о его политических, религиозных и иных убеждениях, и частной жизни.
    • Запрещается получать и обрабатывать ПДн пациента о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.
    • Предоставление сведений, составляющих ПДн, без согласия гражданина или его законного представителя допускается:
  • В целях обследования и лечения гражданина, не способного из-за своего состояния выразить свою волю;
  • При угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
  • По запросу органов дознания и следствия, и суда в связи с проведением расследования или судебным разбирательством;
  • В случае оказания медицинской помощи несовершеннолетнему в соответствии с пунктом 2 части 2 статьи 20 Федерального закона от 21.11.2011 г. № 323 – ФЗ «Об основах охраны здоровья граждан в РФ», а также несовершеннолетнему, не достигшему возраста, установленного частью 2 статьи 54 федерального закона от 21.11.2011 г. № 323 – ФЗ «Об основах охраны здоровья граждан в РФ», для информирования одного из его родителей или иного законного представителя;
  • При наличии оснований, позволяющих полагать, что вред здоровью гражданина причинен в результате противоправных действий.
  • В целях осуществления учета и контроля в системе обязательного социального страхования.
    • Этапы получения и обработки ПДн пациента при амбулаторном лечении.
      • При первичном посещении поликлиники на пациента заводится медицинская карта, а также ПДн пациента вносятся в электронную базу данных администратором регистратуры. На этом этапе пациент предъявляет следующие документы, содержащие ПДн о себе:
    • Паспорт или иной документ, удостоверяющий личность, гражданство;
    • Страховой полис обязательного медицинского страхования;
    • СНИЛС;
    • В отдельных случаях с учетом специфики обследования, в учреждение здравоохранения действующим законодательством РФ может предусматриваться необходимость предъявления дополнительных документов.
      • После сотрудник регистратуры распечатывает медицинскую карту. Информация о пациенте хранится как на электронном, так и на бумажном носителе информации. Сотрудник регистратуры не вправе получать информацию о состоянии здоровья пациента.
      • После формирования медицинской карты (бумажный носитель), сотрудник регистратуры передает ее лечащему врачу. Врач собирает информацию о состоянии здоровья пациента, фиксирует на бумажный носитель, по завершении приема медицинская карта сдается медсестрой врача в регистратуру Учреждения. Ответственными за неразглашение информации о состоянии здоровья являются лечащий врач и медсестра.
      • При каждом посещении Учреждения пациент обязан предъявить сотруднику регистратуры документы, указанные в п. 5.10.1.
      • Медицинская карта пациента хранится в регистратуре, согласно приказу главного врача.
    • Этапы получения и обработки ПДн пациента при стационарном лечении.
      • При оформлении в приемном отделении на пациента заводится медицинская карта стационарного больного, а также ПДн пациента вносятся в электронную базу данных врачом приемного отделения. На этом этапе пациент предъявляет следующие документы, содержащие ПДн о себе:
    • Паспорт или иной документ, удостоверяющий личность, гражданство;
    • Страховой полис обязательного медицинского страхования;
    • СНИЛС;
    • В отдельных случаях с учетом специфики обследования, в учреждение здравоохранения действующим законодательством РФ может предусматриваться необходимость предъявления дополнительных документов.
      • Для оформления медицинской карты стационарного больного сотрудник приемного отделения имеет право получать информацию о состоянии здоровья пациента.
      • После сформирования медицинской карты (бумажный носитель), сотрудник приемного отделения направляет ее и пациента в отделение для дальнейшего лечения.
      • Лечащий врач и медсестра отделения собирают информацию о состоянии здоровья пациента, о назначенных манипуляциях, фиксируют на бумажный носитель, по завершении стационарного лечения медицинская карта сдается медсестрой врача в архив Учреждения. Ответственными за неразглашение информации о состоянии здоровья являются лечащий врач и медсестра.
      • Медицинская карта стационарного больного пациента хранится в архиве, согласно приказу главного врача

 

  1. Обработка персональных данных пациента
    • Обработка ПДн пациента в ГБУЗ «ОКПЦ» г. Оренбурга осуществляться исключительно в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг, а также для оформления договорных отношений с пациентом.
    • Учреждение обрабатывает ПДн пациента путем: сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), обезличивания, использования, уничтожения.
    • В Учреждение ПДн обрабатываются следующими способами:
  • Неавтоматизированная обработка;
  • Автоматизированным способом (с помощью компьютера и специальных программных продуктов).
    • Обработка ПДн пациентов организована Учреждением на следующих принципах:
  • Обработка ПДн осуществляется на законной и справедливой основе;
  • Обработка ПДн осуществляется для целей, непосредственно связанных с деятельностью Учреждения;
  • Содержание и объем обрабатываемых ПДн должны соответствовать заявленным целям обработки. Обрабатываемые ПДн не должны быть избыточными по отношению к заявленным целям их обработки;
  • Не допускается объединения баз данных, содержащих ПДн, обработка которых осуществляется в целях, несовместимых между собой;
  • Обеспечение точности ПДн, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки ПДн;
  • Хранение ПДн в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн.
    • ПДн при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях ПДн (далее – материальные носители), в специальных разделах или на полях форм (бланков).
    • При обработке ПДн на материальных носителях не допускается фиксация на одном материальном носителе тех данных, у которых цели обработки заведомо не совместимы.
    • При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если не имеется возможности осуществлять их отдельно, должны быть приняты следующие меры:
  • При необходимости использования или распространения определенных ПДн отдельно от находящихся на том же материальном носителе других ПДн осуществляется копирование подлежащих распространению или использованию, способом, исключающим одновременное копирование ПДн, не подлежащих распространению и использованию, и используется (распространяется) только копия;
  • При необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование ПДн, подлежащих уничтожению или блокированию.
    • Для обработки ПДн, осуществляемой без использования средств автоматизации, для каждой категории ПДн должен использоваться отдельный материальный носитель.
    • Срок обработки ПДн пациента в Учреждении соответствует сроку хранения первичной медицинской документации.
    • Согласие на обработку ПДн может быть отозвано субъектом персональных данных. В случаях, указанных в пункте 5.3 настоящего Положения, согласие так же может быть отозвано законным представителем субъекта ПДн. Форма отзыва согласия на обработку ПДн представлена в приложении № 3 к настоящему Положению.
    • В случае отзыва пациентом согласия на обработку его ПДн оператор вправе продолжить обработку персональных данных без согласия субъекта ПДн при наличии оснований, указанных в пунктах 4-7, 9-11 части 1 статьи 6, пунктах 3-4 части 2 статьи 10 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных».
    • Запрещается принятие решений на основании исключительно автоматизированной обработки ПДн, порождающих юридические последствия в отношении пациента или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных».
    • Решение, порождающее юридические последствия в отношении пациента или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его ПДн только при наличии согласия в письменной форме пациента или в случаях, предусмотренных Федеральным законодательством, устанавливающим также меры по обеспечению соблюдения прав и законных интересов субъекта ПДн.
    • Сотрудники должны быть ознакомлены под личную подпись с документами Учреждения, устанавливающими порядок обработки ПДн пациентов, а также об их правах и обязанностях в этой области.
    • Учреждение вправе поручить обработку ПДн другому лицу с согласия пациента, если иное не предусмотрено Федеральным законом № 152-ФЗ, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее – поручение Учреждения). Лицо, осуществляющее обработку персональных данных по поручению Учреждения, обязано соблюдать принципы и правила обработки ПДн, предусмотренные Федеральным законом № 152-ФЗ «О персональных данных». В поручении Учреждения должен быть определен перечень действий (операций) с ПДн, которые будут совершаться лицом, осуществляющим обработку ПДн, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность ПДн и обеспечена безопасность ПДн при их обработке, а также должны быть указаны требования к защите обрабатываемых ПДн в соответствии со статьей 19 Федерального закона № 152-ФЗ «О персональных данных».
    • Лицо, осуществляющее обработку ПДн по поручению Учреждения, не обязано получать согласие пациента на обработку его ПДн.
    • В случае, если Учреждение поручает обработку ПДн другому лицу, ответственность перед пациентом за действия указанного лица несет Учреждение. Лицо, осуществляющее обработку ПДн по поручению Учреждения, несет ответственность перед Учреждением.
  1. Передача персональных данных пациента
    • В соответствии с законодательством РФ, ПДн пациентов Учреждения могут быть переданы правоохранительным, судебным органам и другим учреждениям в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства, а также в случаях, установленных федеральным законом.
    • Полученная в ходе обработки информация (ПДн) может передаваться на бумажных носителях, электронных носителях, по внутренней сети Учреждения, а также с использованием сети Интернет по защищенным каналам связи и доступным лишь строго определенному кругу лиц.
    • Передача ПДн пациента сотрудником Учреждения для выполнения должностных обязанностей должна осуществлять только в объеме, необходимом для выполнения их работы.
    • При передаче ПДн пациента третьим лицам сотрудники Учреждения должны соблюдать следующие требования:
  • Не сообщать ПДн третьей стороне без письменного согласия пациента, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью пациента, а также в случаях, установленных федеральным законом;
  • Не сообщать ПДн пациента в коммерческих целях;
  • Предупреждать лиц, получающих ПДн пациента, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены. Лица, получающие ПДн пациента, обязаны соблюдать режим секретности (конфиденциальности).
  • Разрешать доступ к ПДн пациента только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те ПДн пациента, которые необходимы для выполнения конкретных функций.
  1. Хранение и уничтожение персональных данных
    • Информация персонального характера пациента хранится и обрабатывается с соблюдением требований действующего Российского законодательства о защите персональных данных.
    • ПДн пациентов хранятся в помещения архива, регистратуры и в кабинетах поликлиники, доступ в которые имеют только сотрудники поликлиники, имеющие право доступа к персональным данным.
    • Персональные данные пациентов хранятся в электронных базах данных, которые могут быть подключены к локальной сети организации, а так же на бумажных носителях.
    • Доступ к электронным базам данных ограничен паролем. Возможна передача ПДн пациентов между структурными подразделениями с использованием учтенных съемных носителей или по внутренней VPN-сети Учреждения с использованием технических и программных средств защиты информации.
    • При работе с электронными базами ПДн пациентов оператору запрещается демонстрация информации с экрана, лицам, не имеющим соответствующего допуска.
    • Хранение ПДн пациентов в электронном виде осуществляется на серверах Учреждения с использованием специализированного программного обеспечения, отвечающего требованиям безопасности.
    • Хранение ПДн в электронных базах данных обеспечивается защитой согласно Постановлению Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
    • Бумажными носителями ПДн являются:
  • Медицинская карта амбулаторного больного, которая заводится на каждого обратившегося в Учреждение за оказанием медицинском помощи при первом обращении и хранится в регистратуре Учреждения;
  • Медицинская карта стационарного больного, которая заводится на каждого поступившего в стационар на лечение пациента в приемном отделении стационара Учреждения и хранится в течение всего срока пребывания пациента в стационаре в папке лечащего врача. В случае необходимости предоставления медицинской карты в другие подразделения Учреждения для проведения по назначению лечащего врача диагностических исследований, консультаций врачей-специалистов медицинская карта до начала исследования/консультации передается постовой медсестрой отделения медицинскому персоналу соответствующего подразделения, после проведения исследований/консультаций возвращается медицинским персоналом данного подразделения лечащему врачу;
  • Медицинская карта больного стационара дневного пребывания;
  • Журналы и другие формы медицинской документации, содержащие ПДн пациентов, оформляются и хранятся в регистратуре, кабинетах врачей, ординаторских Учреждения в соответствии с требованиями действующих приказов;
  • Прочие документы, используемые при оказании медицинской помощи и содержащие ПДн пациентов (акты, направления, договоры, квитанции и пр.), после оформления передаются сотруднику, допущенному к работе с ПДн, в должностные обязанности которого входит обработка этих данных.
    • После завершения медицинского обслуживания пациента носитель, содержащий его ПДн о состоянии здоровья, диагнозе, проведенном лечении и рекомендациях хранится в архиве Учреждения.
    • Хранение ПДн должно осуществляться в форме, позволяющей определить субъекта ПДн, не дольше, чем этого требуют цели обработки ПДн. Обрабатываемые ПДн подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.
    • При хранении материальных носителей ПДн сотрудниками Учреждения соблюдаются условия, обеспечивающие сохранность ПДн и исключающие несанкционированный к ним доступ.
    • С сотрудниками, ответственными за хранение персональных данных, а также с сотрудниками, владеющими персональными данными в силу своих должностных обязанностей, заключаются Обязательство о неразглашении персональных данных субъектов (Приложение № 4). Экземпляр Обязательства хранится в отделе кадров.
  1. Доступ к персональным данным пациентов
    • Учреждение обеспечивает ограничение доступа к ПДн пациентов лицам, не уполномоченным Федеральным законодательством, либо Учреждением для получения соответствующих сведений.
    • Доступ к ПДн пациентов без специального разрешения имеют только должностные лица Учреждения, допущенные к работе с ПДн пациентов Приказом главного врача ГБУЗ «ОКПЦ». Данным категориям сотрудников в их должностные инструкции необходимо включить пункт: «При работе с ПДн пациентов необходимо руководствоваться настоящим положением и соблюдать меры по защите персональных данных».
    • Доступ к ПДн пациентов внутри Учреждения имеют:
  • Главный врач ГБУЗ «ОКПЦ»;
  • Заместитель главного врача по медицинской части;
  • Заместитель главного врача по детству;
  • Старшие медицинские сестры подразделений;
  • Врачи и медсестры имеют доступ к ПДн пациентов, находящихся у них на лечении (обследование);
  • Другие должностные лица Учреждения, согласно Приказу о допуске сотрудников к обработке ПДн в соответствии со своими должностными обязанностями;
  • Субъект персональных данных – к своим персональным данным в соответствии с действующим законодательством.
    • ПДн пациентов могут предоставляться в следующие структуры (внешний доступ):
  • Правоохранительные органы;
  • Органы статистики;
  • Страховые медицинские организации;
  • Пенсионные фонды;
  • Департамент здравоохранения;
  • Органы социального страхования;
  • Отделы опеки и попечительства;
  • Вышестоящие подразделения муниципальных органов управления;
  • Комиссии по делам несовершеннолетних и защите их прав;
  • Другие лечебно-профилактические учреждения.
    • Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.
  1. Защита персональных данных пациента
    • Под угрозой или опасностью утраты ПДн понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.

Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.

  • Учреждение при обработке ПДн пациентов принимает необходимые и достаточные правовые, организационные и технические меры предусмотренные Федеральным законом № 152-ФЗ «О персональных данных» и другими нормативно-правовыми документами в области информационной безопасности направленных на:
  • Обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
  • Соблюдение конфиденциальности информации ограниченного доступа;
  • Реализацию права на доступ к информации.
  • Обеспечение безопасности ПДн в информационных системах персональных данных осуществляется в соответствии с требованиями ст. 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», Постановлением Правительства РФ от 01.11.2012 № 1119
    «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», нормативными и руководящими документами уполномоченных федеральных органов исполнительной власти.
  • Мероприятия по обеспечению безопасности ПДн проводятся в соответствии с Приказом ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
  • Выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых Учреждением угроз безопасности ПДн (модели угроз) и в зависимости от уровня защищенности информационной системы, определенного в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
  • Обеспечение безопасности персональных данных обрабатываемых без использования средств автоматизации осуществляется в соответствии с требованиями Постановления Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
  • Выбранные и реализованные методы и способы защиты информации должны обеспечивать нейтрализацию предполагаемых угроз безопасности ПДн при их обработке в информационных системах.
  • Сотрудники Учреждения, имеющие доступ к ПДн, обязаны принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, модифицирования, блокирования, копирования, распространения, а также от иных неправомерных действий в отношении данной информации.
  • Защита ПДн пациентов от неправомерного их использования или утраты обеспечена ГБУЗ «ОКПЦ» за счет своих средств, в порядке, установленном Федеральным законодательством и другими нормативными документами.
  • Обеспечение безопасности ПДн пациентов достигается, в частности:
  • Определением угроз безопасности ПДн при их обработке в информационных системах персональных данных;
  • Применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  • Оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  • Учетом машинных носителей персональных данных;
  • Установлением Списка должностей (перечня лиц), утвержденного Приказом главного врача ГБУЗ «ОКПЦ», осуществляющих обработку ПДн пациентов, либо имеющих к ним доступ;
  • Установлением правил доступа к ПДн, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с ПДн в информационной системе персональных данных;
  • Проведением периодического обучения сотрудников Учреждения допущенных к обработке ПДн по вопросам информационной безопасности;
  • Ознакомлением сотрудников Учреждения, непосредственно осуществляющих обработку ПДн, с положениями законодательства Российской Федерации о персональных данных, в том числе с требованиями к защите персональных данных, документами, определяющими политику Учреждения в отношении обработки ПДн, локальными актами по вопросам обработки ПДн;
  • Осуществлением внутреннего контроля соответствия обработки ПДн Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике Учреждения в отношении обработки персональных данных, локальным актам Учреждения.
  • Для обеспечения безопасности ПДн пациентов при неавтоматизированной обработке предпринимаются следующие меры:

10.11.1. Определяются места хранения персональных данных:

  • В кабинетах, где осуществляется хранение документов, содержащих ПДн пациентов, имеются сейфы, шкафы, стеллажи, а также данные помещения оборудованы замками, системами охранной и пожарной сигнализации.
  • Учреждение использует услуги вневедомственной охраны.

10.11.2. Все действия по неавтоматизированной обработке персональных данных пациентов осуществляются только должностными лицами, согласно Списку должностей, утвержденного Приказом главного врача ГБУЗ «ОКПЦ», и только в объеме, необходимом данным лицам для выполнения своих должностных обязанностей.

10.11.3. Уточнение ПДн при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя – путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными ПДн пациента.

  • Для обеспечения безопасности ПДн пациента при автоматизированной обработке предпринимаются следующие меры:
  • Все действия при автоматизированной обработке ПДн пациентов осуществляются только должностными лицами, согласно Списку должностей, утвержденного Приказом главного врача ГБУЗ «ОКПЦ», и только в объеме, необходимом данным лицам для выполнения своей должностных обязанностей.
  • Персональные компьютеры, имеющие доступ к базам содержащие ПДн пациентов, защищены паролями доступа. Пароли устанавливаются Администратором информационной безопасности и сообщаются индивидуально сотруднику, допущенному к работе с ПДн и осуществляющему обработку ПДн пациентов на данном компьютере.
  • Иные меры, предусмотренные п. 10.3. – 10.5. настоящего положения.
  • Уничтожение или обезличивание части ПДн, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих ПДн с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление).
  • Персональные данные пациентов, содержащиеся на материальных носителях уничтожаются по Акту об уничтожении машинных носителей.
  • Режим конфиденциальности ПДн пациентов снимается в случаях их обезличивания и по истечении срока их хранения, в соответствии с приказами по архивному делу, или продлевается на основании заключения экспертной комиссии Учреждения, если иное не определено законодательством РФ.
  1. Права и обязанности субъектов персональных данных
    • Субъект ПДн имеет право на получение сведений, указанных в пункте 11.4 настоящего Положения, за исключением случаев, предусмотренных пунктом 11.11 настоящего Положения. Субъект ПДн вправе требовать от Учреждения уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
    • В целях обеспечения защиты ПДн, хранящихся у Учреждения, пациенты имеют право (при наличии паспорта) на:
  • Получение полной информации о своих ПДн и способе обработки ПДн, состоянии и прогнозе своего здоровья;
  • Доступ к своим медицинским данным с помощью специалиста, ответственного за ведение данных;
  • Требовать об удалении или исправлении неверных или неполных ПДн, а также данных, обработанных с нарушением требований и настоящего Положения;
  • Заявить в письменной форме о своем несогласии в части обработки ПДн с соответствующим обоснованием;
  • Свободный и бесплатный доступ к своим ПДн, включая право на получение копий любой записи, содержащей ПДн, за исключением случаев, предусмотренных Федеральным законом;
  • Определение своих представителей для защиты своих ПДн.
    • Пациент не должен отказываться от своих прав на сохранение и защиту тайны.
    • Пациент имеет право на получение информации, касающейся обработки его ПДн, в том числе содержащей:
  • Сведения об операторе, о месте нахождения оператора;
  • Сведения о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных;
  • Сведения на подтверждение факта обработки ПДн оператором, а также цели такой обработки;
  • Сведений о способах обработки ПДн, применяемые Учреждением, а также цели обработки;
  • Сведения о лицах, которые имеют доступ к ПДн или которым может быть предоставлен такой доступ;
  • Сведения о перечне обрабатываемых ПДн и источник их получения;
  • Сведения о сроках обработки ПДн, в том числе сроках их хранения;
  • Сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных;
  • Ознакомление с ПДн, за исключением случая, когда предоставление ПДн нарушает конституционные права и свободы других лиц.
    • Сведения, указанные в пункте 11.4 настоящего Положения, должны быть предоставлены субъекту ПДн Учреждения в доступной форме, и в них не должны содержаться ПДн, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких ПДн.
    • Сведения, указанные в пункте 11.4 настоящего Положения, предоставляются пациенту ПДн или его представителю Учреждением при обращении либо при получении запроса субъекта ПДн или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Учреждением (номер договора, дата заключения договора, условное словесное обозначение), либо сведения, иным образом подтверждающие факт обработки ПДн Учреждением, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
    • В случае если сведения указанные в пункте 11.4. настоящего Положения, а также обрабатываемые ПДн были предоставлены для ознакомления субъекту ПДн по его запросу, пациент ПДн вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в пункте 11.4. настоящего Положения, и ознакомления с такими ПДн не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн.
    • Пациент ПДн вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в пункте 11.4 настоящего Положения, а также в целях ознакомления с обрабатываемыми ПДн до истечения срока, указанного в пункте 11.7 настоящего Положения, в случае, если такие сведения и (или) обрабатываемые ПДн не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в пункте 11.6 настоящего Положения, должен содержать обоснование направления повторного запроса.
    • Учреждение вправе отказать субъекту ПДн в выполнении повторного запроса, не соответствующего условиям, предусмотренным пунктам 11.7. и 11.8. настоящего Положения. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
    • Пациент вправе требовать от Учреждения уточнения его ПДн, их блокирования или уничтожения в случае, если ПДн являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
    • Право пациента на доступ к его ПДн может быть ограничено в соответствии с федеральными законами, в том числе если:
  • Обработка ПДн, включая ПДн, полученные в результате оперативно-розыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
  • Обработка ПДн осуществляется органами, осуществившими задержание субъекта ПДн по подозрению в совершении преступления, либо предъявившими субъекту ПДн обвинение по уголовному делу, либо применившими к субъекту ПДн меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими ПДн;
  • Обработка ПДн осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
  • Доступ субъекта к его ПДн нарушает права и законные интересы третьих лиц.
    • Пациент обязан:
  • Передавать Учреждению достоверные и документированные ПДн, а также информацию о состоянии здоровья.
  • Своевременно сообщать Учреждению, использующему ПДн пациента об их изменениях.
  1. Обязанности ГБУЗ «ОКПЦ» в отношении обработки персональных данных пациентов
    • Учреждение при обработке ПДн пациентов принимает необходимые организационные и технические меры для защиты ПДн от неправомерного или случайного доступа к ним, уничтожении, изменения, копирования, распространения персональных данных, а также от иных неправомерных действий.
    • Учреждение осуществляет передачу ПДн пациента только в соответствии с настоящим Положением и законодательством РФ.
    • Учреждение обязано в порядке, предусмотренном пунктом 11.4. настоящего Положения, сообщить пациенту или его законному представителю информацию о наличии его ПДн, а также предоставить возможность ознакомления с ними при обращении пациента или его законного представителя либо в течение десяти рабочих дней с даты получения запроса пациента или его законного представителя. В случае отказа в предоставлении пациенту или его законному представителю при обращении либо получении запроса от пациента или его законного представителя информации о наличии ПДн о соответствующем пациенте Учреждение обязано дать в письменной форме мотивированный ответ, содержащий ссылку на положение ч. 5 ст. 14 Федерального закона № 152 «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий семи рабочих дней со дня обращения пациента или его законного представителя в Учреждение либо с даты получения запроса субъекта Пдн или его законного представителя.
    • Учреждение обязано рассмотреть возражение касающиеся обработке его ПДн в течение тридцати дней со дня его получения и уведомить пациента о результатах рассмотрения такого возражения.
    • В случае выявления неправомерной обработки ПДн при обращении пациента или его представителя либо по запросу пациента или его представителя либо уполномоченного органа по защите прав субъектов ПДн Учреждение обязано осуществить блокирование неправомерно обрабатываемых ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Учреждения) с момента такого обращения или получения указанного запроса на период проверки.
    • В случае выявления неточных ПДн при обращении пациента или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов ПДн Учреждение обязано осуществить блокирование ПДн, относящихся к этому субъекту ПДн, или обеспечить их блокирование (если обработка ПДн осуществляется другим лицом, действующим по поручению Учреждения) с момента такого обращения или получения указанного запроса на период проверки, если блокирование ПДн не нарушает права и законные интересы пациента или третьих лиц.
    • В случае подтверждения факта неточности ПДн Учреждение на основании сведений, представленных пациентом или его представителем либо уполномоченным органом по защите прав субъектов ПДн, или иных необходимых документов обязано уточнить ПДн либо обеспечить их уточнение (если обработка ПДн осуществляется другим лицом, действующим по поручению Учреждения) в течение семи рабочих дней со дня представления таких сведений и снять блокирование ПДн.
    • В случае выявления неправомерной обработки ПДн, осуществляемой Учреждением (или лицом, действующим по поручению Учреждения), Учреждение в срок, не превышающий трех рабочих дней с даты этого выявления, обязано прекратить неправомерную обработку ПДн или обеспечить прекращение неправомерной обработки ПДн лицом, действующим по поручению Учреждения.
    • В случае если обеспечить правомерность обработки ПДн невозможно, Учреждение в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки ПДн, обязано уничтожить такие ПДн или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных Учреждение обязано уведомить пациента или его представителя, а в случае, если обращение пациента или его представителя либо запрос уполномоченного органа по защите прав субъектов ПДн были направлены уполномоченным органом по защите прав субъектов ПДн, также указанный орган.
    • В случае достижения цели обработки ПДн Учреждение обязано прекратить обработку ПДн или обеспечить ее прекращение (если обработка ПДн осуществляется другим лицом, действующим по поручению Учреждения) и уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Учреждения) в срок, не превышающий тридцати дней с даты достижения цели обработки ПДн, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является пациент, иным соглашением между Учреждением и пациентом, либо если Учреждение не вправе осуществлять обработку ПДн без согласия пациента на основаниях, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных».
    • В случае отзыва пациентом согласия на обработку его ПДн Учреждение обязано прекратить их обработку или обеспечить прекращение такой обработки (если обработка ПДн осуществляется другим лицом, действующим по поручению Учреждения) и в случае, если сохранение ПДн более не требуется для целей обработки ПДн, уничтожить ПДн или обеспечить их уничтожение (если обработка ПДн осуществляется другим лицом, действующим по поручению Учреждения) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, иным соглашением между Учреждением и пациентом, либо если Учреждение не вправе осуществлять обработку ПДн без согласия субъекта ПДн на основаниях, предусмотренных Федеральным законом № 152-ФЗ «О персональных данных».
  2. Право на обжалование действий или бездействия Учреждения
    • Если пациент или его законный представитель Учреждения считает, что Учреждение осуществляет обработку его ПДн с нарушением требований Федерального закона № 152-ФЗ или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие Учреждения в уполномоченный орган по защите прав субъектов ПДн (Федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи) или в судебном порядке.
    • Пациент Учреждения имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
    • Моральный вред, причиненный пациенту вследствие нарушения его прав, нарушения правил обработки ПДн, установленных Федеральным законом № 152-ФЗ, а также требований к защите персональных данных, установленных в соответствии с Федеральным законом № 152-ФЗ, подлежит возмещению в соответствии с законодательством Российской Федерации.
  3. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных пациентов
    • Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту ПДн пациента, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с Федеральным законодательством.
    • Сотрудники Учреждения, допущенные к обработке ПДн пациентов, несут персональную ответственность за разглашение полученной в ходе своей трудовой деятельности информации и привлекаются к дисциплинарной, административной или уголовной ответственности в соответствии с действующим законодательством Российской Федерации.
  4. Заключительные положения
    • Настоящее Положение вступает в силу с момента его утверждения руководителем Учреждения и действует бессрочно, до замены его новым Положением.
    • При необходимости приведения настоящего Положения в соответствие с вновь принятыми законодательными актами, изменения вносятся на основании Приказа Главного врача ГБУЗ «ОКПЦ».
    • Настоящее Положение распространяется на всех пациентов, а также работников ГБУЗ «ОКПЦ», имеющих доступ к обработке ПДн пациентов.
    • Пациенты ГБУЗ «ОКПЦ», а так же их законные представители имеют право, ознакомится с настоящим Положением.
    • Документы, определяющие политику в отношении обработки персональных данных пациентов, размещены на официальном сайте или информационном стенде Учреждения в течение 10 дней после их утверждения.

 

Положение о  защите персональных данных

IcoDOC