Положение об использовании и защите персональных данных пациентов ООО «Центр эстетической медицины «СОТИС»

Настоящее «Положение о защите персональных данных пациентов (далее субъектов персональных данных) ООО ЦЭМ «СОТИС» (далее — Положение) разработано с целью защиты информации, относящейся к личности, личной жизни и состоянию здоровья субъектов персональных данных ООО ЦЭМ «СОТИС», в соответствии со ст. 24 Конституции Российской Федерации, и Федеральными законами: от 27 июля 2006 года N 149-ФЗ «Об информации, информационных технологиях и о защите информации», от 27 июля 2006 года N 152-ФЗ «О персональных данных».

1.Общие положения

1.1.Настоящее положение принято в целях обеспечения требований защиты прав пациентов ООО ЦЭМ «СОТИС» ( далее - Центр) при обработке их персональных данных.

1.2.Положение определяет права и обязанности пациентов и сотрудников Центра, порядок использования персональных данных. Персональные данные могут обрабатываться для целей, непосредственно связанных с деятельностью Центра. Центр собирает данные только в объеме, необходимом для достижения целей.

1.3.Настоящее Положение разработано на основе и во исполнение части 1 статьи 23, статьи 24 Конституции Российской Федерации, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», Постановления Правительства РФ №1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановления Правительства РФ №687 от 15.09.2008 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Федеральным законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона от 21.11.2011 №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»

2. Основные понятия

2.1. Основные понятия, используемые в настоящем Положении:

Центр — юридическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Субъект персональных данных (пациент) — физическое лицо, состоящее (имеющее право состоять) в гражданско-правовых отношениях с Центром, обратившееся в Центр для получения медицинких услуг;

Врачебная тайна — соблюдение конфиденциальности информации о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иных сведений, полученных при его обследовании и лечении.

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому лицу (субъекту персональных данных).

К персональным данным субъекта персональных данных, получаемым ООО ЦЭМ «СОТИС» и подлежащим обработке, хранению у ООО ЦЭМ «СОТИС» в порядке, предусмотренном действующим законодательством и настоящим Положением, относятся соответственно следующие сведения, содержащиеся в медицинской и иной связанной с ней документации:

  • паспортные данные;
  • данные о месте работы и занимаемой должности;
  • данные о месте жительства (пребывания);
  • данные о семейном положении;
  • биографические и биометрические данные, полученные от пациента при обращении в ООО ЦЭМ «СОТИС» и (или) ставшие известными ООО ЦЭМ «СОТИС» в процессе осуществления своей деятельности;
  • данные о состоянии здоровья;
  • иные персональные данные в соответствии с требованиями законодательства.

Документы, содержащие персональные данные гражданина — документы, необходимые для осуществления действий в целях оказания услуг по подготовке и выдаче документов, необходимых в ходе оказания услуг.

Обработка персональных данных субьекта — любое действие или совокупность действий совершаемых с использованием средств автоматизации или без использования таких средств. С персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение). Извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных гражданина.

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Блокирование персональных данных — временное прекращение обработки персональных данных.

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Конфиденциальность персональных данных — операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законодательством.

Несанкционированный доступ (несанкционированные действия) — доступ к информации или действия с информацией, нарушающие правила разграничения доступа, в том числе с использованием штатных средств, предоставляемых информационными системами персональных данных.

Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с Федеральным законодательством не распространяется требование соблюдения конфиденциальности.

3. Основные условия проведения обработки персональных данных субъектов персональных данных

3.1 ООО ЦЭМ «СОТИС»» определяет объем, содержание обрабатываемых персональных данных субъектов, руководствуясь Конституцией Российской Федерации, федеральными законами РФ.

3.2 Обработка персональных данных субъектов персональных данных осуществляется исключительно в целях охраны жизни и здоровья субъекта, а также для обеспечения соблюдения законов и иных нормативно-правовых актов и ограничивается достижением конкретных, заранее определенных и законных целей.

3.3 Все персональные данные предоставляются субъектом персональных данных соответственно в процессе лечения и обследования.

ООО ЦЭМ «СОТИС»» информирует субъекта о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа пациента от дачи письменного согласия на их получение. Подтверждением информированности субъекта служит его письменное согласие на обработку персональных данных.

3.4 ООО ЦЭМ «СОТИС»» формирует Общий единый источник персональных данных (общедоступный источник) для обработки персональных данных в целях защиты жизни, здоровья и иных жизненно важных интересов субъектов. В связи с этим доступ ООО ЦЭМ «СОТИС» к персональным данным на всех этапах их обработки неограниченному кругу лиц возможен только при получении письменного согласия субъекта персональных данных на их обработку.

3.5 Согласия на обработку и работу с персональными данными субъекта не требуется при:

  • обработке персональных данных для защиты жизни, здоровья или иных жизненно важных интересов субъекта, если получение его согласия невозможно, а также иных случаях, предусмотренных действующим законодательством РФ.

4. Хранение и использование персональных данных субъектов

4.1 Персональные данные субъекта персональных данных ООО ЦЭМ «СОТИС» хранятся на бумажных носителях и в электронном виде на компьютерах ООО ЦЭМ «СОТИС» и арендуемых серверах: в регистратуре ООО ЦЭМ «СОТИС»; помещении архива историй болезни; бухгалтерии.

Архивные копии хранятся в ООО ЦЭМ «СОТИС», а также на серверах, арендуемых ООО ЦЭМ «СОТИС».

4.2 Бумажные носители персональных данных субъектов персональных данных хранятся в архиве ООО ЦЭМ «СОТИС»»; регистратуре; бухгалтерии.

Помещения для хранения персональных данных должны быть защищены от проникновения посторонних лиц: оснащены охранно-пожарной сигнализацией, в нерабочее время (праздничные, выходные дни) оборудованы охранной сигнализацией.

4.3 Ответственными за организацию и осуществление хранения персональных данных пациентов ООО ЦЭМ «СОТИС» являются директор, главный врач, главный бухгалтер ООО ЦЭМ «СОТИС».

Контроль за обеспечением безопасности персональных данных при их обработке в информационных системах персональных данных в соответствии с требованиями законодательства РФ возлагается главного врача, на бумажных носителях – на главного врача и главного бухгалтера ООО ЦЭМ «СОТИС».

4.4. В процессе накопления, обработки и хранения персональных данных субъектов ООО ЦЭМ «СОТИС» лицами, имеющими право доступа к персональным данным, согласно настоящего положения, обеспечиваются:

  • не разглашение сведений, ставших известными сотрудникам в процессе исполнения должностных обязанностей;
  • соблюдение требований настоящего Положения и нормативных документов, устанавливающих правила хранения конфиденциальных сведений;
  • сохранность имеющихся данных, ограничение доступа к ним, в соответствии с законодательством Российской Федерации и настоящим Положением;
  • контроль за достоверностью и полнотой персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений;
  • конфиденциальность персональных данных: операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субьекта персональных данных, если иное не предусмотрено федеральным законом.

4.5 Доступ к персональным данным субъектов в силу своих служебных обязанностей имеют должностные лица ООО ЦЭМ «СОТИС»»: директор ООО ЦЭМ «СОТИС», главный врач; главный бухгалтер; врачи; средний медицинский персонал; младший медицинский персонал; регистраторы; иные лица в соответствии с Приказами по ООО ЦЭМ «СОТИС».

4.6.Лица, получающие персональные данные пациентов, обязаны соблюдать режим конфиденциальности, а также с учетом причиненного гражданину ущерба несут за разглашение врачебной тайны дисциплинарную, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.

5. Передача персональных данных субъектов

5.1. Передача персональных данных субъектов другим юридическим и физическим лицам (третьим лицам) осуществляется только при наличии подписанного согласия субъекта персональных данных, а также с соблюдением требований действующего законодательства РФ, настоящего Положения и нормативных документов о защите персональных данных субъектов, правил хранения конфиденциальных сведений, за исключением случаев, предусмотренных статьёй 13 ФЗ № 323:

5.2. По запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органа уголовно- исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля за поведением условно осужденного, осужденного, в отношении которого отбывание наказания отсрочено, и лица, освобожденного условно-досрочно;

6. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных субъекта

6.1 Лица, нарушающие или не выполняющие правовые нормы, регулирующих получение, обработку и защиту персональных данных субъекта, установленных действующим законодательством РФ и настоящим Положением, несут ответственность, предусмотренную законодательством Российской Федерации.

7.Права и обязанности субьекта персональных данных.

7.1. Пациент имеет право:

  • на конфиденциальность персональных данных, если иное не предусмотрено Федеральным законом;
  • получения полной информации о своих персональных данных и обработке персональных данных;
  • получения полной информации о состоянии и прогнозе своего здоровья;
  • доступа к своим персональным данным с помощью специалиста, ответственного за ведение данных;
  • требовать об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований и настоящего Положения;
  • отозвать согласие на обработку персональных данных - в этом случае оператор вправе продолжить обработку персональных данных без согласия субьекта персональных данных при наличии оснований, указанных в пункта 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 25.07.2011 №261-ФЗ « О внесении изменений в ФЗ « О персональных данных».

7.2 Пациент обязан:

  • передавать лицу (оператору), обрабатывающему персональные данные, комплекс достоверных, документированных персональных данных, информацию о состоянии здоровья;
  • своевременно сообщать лицу, использующему персональные данные пациента, об их изменениях.

8. Прочие положения

8.1 Настоящее Положение вступает в силу с даты его утверждения.

8.2 При необходимости приведения настоящего Положения в соответствие с вновь принятыми законодательными актами, изменения вносятся на основании Приказа Директора.

8.3 Настоящее Положение распространяется на всех субъектов правоотношений с Центром, а также работников Центра, имеющих доступ и осуществляющих перечень действий с персональными данными граждан.

8.4. Работники Центра подлежат ознакомлению с данным документом в порядке, предусмотренном приказом Директора, под личную подпись.

8.6. В обязанности работников, осуществляющих первичный сбор персональных данных гражданина, входит получение согласия субьекта персональных данных на обработку его персональных данных под личную подпись (Приложение № 1).