Карта сайта
Наш телефон +7 (351) 214-42-22, +7 (952) 504-96-43
Версия для слабовидящих

Положение об обработке персональных данных

×
Меню

УТВЕРЖДЕНО:

Приказом директора

ООО «Кия» Беркович Л.С.

от  1.06.2021г. №1/06

 

Положение об обработке персональных данных в ООО «Кия»

1. Общие положения

1.1. Настоящее Положение определяет условия и порядок обработки персональных данных, которую осуществляет ООО «Кия» (далее – Медицинский центр).

1.2. Положение разработано во исполнение Политики в отношении обработки персональных данных и в соответствии с Федеральным законом от 27.07.2006 №152-ФЗ "О персональных данных", а также следующими нормативными правовыми актами РФ:

- Конституцией Российской Федерации.

- Трудовым кодексом Российской Федерации.

- Гражданским кодексом Российской Федерации.

- Федеральным законом от 19.12.2005 № 160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных».

- Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации».

- Федеральный закон от 21.11.2011 N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».

- Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

- Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

- Устава Общества с ограниченной ответственностью «Кия».

Во исполнение Политики директором Медицинского центра утверждены следующие локальные нормативные правовые акты:

- Приказ о назначении ответственных лиц за работу с персональными данными, за  обеспечением информационной безопасности.

- Приказ об организации работ по обеспечению безопасности персональных данных.

- Перечень обрабатываемых персональных данных.

- Перечень должностей, работников, допущенных к обработке персональных данных.

- Правила рассмотрения запросов субъектов персональных данных или их представителей.

- Правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных.

- Типовое обязательство работника Медицинского центра, непосредственно осуществляющего обработку персональных данных, в случае расторжения с ним трудового договора прекратить обработку персональных данных, ставших известными ему в связи с исполнением трудовых обязанностей.

- Типовая форма согласия на обработку персональных данных субъектов персональных данных.

- Типовая форма согласия на распространения персональных данных субъектов персональных данных.

- Типовая форма разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные.

2. Термины и определения, используемые в положении

2.1. Для целей настоящего Положения в тексте применяются следующие термины и определения:

- персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (гражданину).

- обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными. К таким действиям относятся: сбор, получение, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

- распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

- использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

- блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

- уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

- автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники.

- информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

- конфиденциальность персональных данных - операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законодательством.

3. Цели, принципы и условия обработки персональных данных

3.1 Целями обработки персональных данных в Медицинском центре являются:

- обеспечение соблюдения Конституции РФ, федеральных законов, нормативно- правовых актов РФ;

- осуществление уставных задач Медицинского центра.

3.2 Обработка персональных данных осуществляется на основе принципов:

- законности целей и способов обработки персональных данных и добросовестности;

- соответствия целей обработки персональных данных целям, заранее определенным при сборе персональных данных;

- достоверности персональных данных и их достаточности;

- личной ответственности сотрудников медицинского центра за сохранность и конфиденциальность персональных данных, а также носителей этой информации;

- наличие четкой разрешительной системы доступа сотрудников Медицинского центра к документам и базам данных, содержащим персональные данные.

3.3. Обработка персональных данных осуществляется только должностными лицами Медицинского центра, непосредственно использующими их в служебных целях. Уполномоченные на обработку персональных данных, имеют право получать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей. Остальные работники Медицинского центра имеют право на полную информацию, касающуюся только собственных персональных данных.

3.4. Медицинский центр обрабатывает персональные данные в следующих случаях:

- обработка персональных данных осуществляется только с согласия субъекта персональных данных;

- обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных;

- обработка персональных данных проводится для осуществления уставных функций центра;

- обработка персональных данных необходима для защиты здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

- обработка персональных данных необходима для осуществления прав и законных интересов Медицинского центра или третьих лиц, либо для достижения значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

- обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом.

4. Состав персональных данных

Медицинский центр обрабатывает персональные данные субъектов следующих категорий:

- работников медицинского центра;

- пациентов медицинского центра.

4.1. Персональные данные работника - информация, необходимая работодателю в связи с трудовыми отношениями и касающиеся конкретного работника. Информация о работниках – это сведения о фактах, событиях и обстоятельствах жизни, позволяющие идентифицировать его личность.

В состав персональных данных работника входят:

- паспортные данные;

- адрес места жительства;

- контактные телефоны;

- образование;

- сведения о трудовом и общем стаже;

- сведения о составе семьи;

- сведения о заработной плате сотрудника;

- сведения о социальных льготах;

- специальность;

- занимаемая должность;

- содержание трудового договора;

- содержание декларации, подаваемой в налоговую инспекцию;

- подлинники и копии приказов по личному составу;

- личные дела и трудовые книжки сотрудников;

- основания к приказам по личному составу;

- дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;

- и другая информация.

4.2. Персональные данные Пациента - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу.

К персональным данным пациентов, которые обрабатываются в Медицинском центре, относятся:

- фамилия, имя, отчество;

- дата рождения;

- паспорт или иной документ, удостоверяющий личность;

- адрес места жительства;

- контактные телефоны;

- сведения о состоянии здоровья;

- реквизиты полиса медицинского страхования;

- другая информация.

Данные сведения являются конфиденциальными. Конфиденциальность персональных данных снимается в случаях обезличивания или по истечении срока хранения, если иное не определено законом.

4.3. Информация о персональных данных может содержаться:

- на бумажных носителях;

- на электронных носителях;

- в информационных системах персональных данных;

- в информационно телекоммуникационных сетях.

5. Согласие субъекта на обработку персональных данных

5.1. Получение персональных данных осуществляется путем представления их самим пациентом или работником, на основании его письменного согласия, за исключением случаев прямо предусмотренных действующим законодательством РФ.

В случае недееспособности пациента или не достижения пациентом возраста 15 лет согласие на обработку его персональных данных дает в письменной форме его законный представитель.

Письменное согласие пациента и работника на обработку своих персональных данных должно включать в себя: 

- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

- фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя;

- наименование и адрес Медицинского центра, получающего согласие субъекта персональных данных;

- цель обработки персональных данных;

- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;

- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Медицинским центром способов обработки персональных данных;

- срок, в течение которого действует согласие, а также порядок его отзыва;

подпись субъекта персональных данных.

5.2. Передача персональных данных субъекта третьим лицам осуществляется Медицинским центром только с письменного согласия субъекта, за исключением случаев, предусмотренных ст. 13 Федерального закона РФ от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».

6. Обработка, передача и хранение персональных данных

6.1. Все действия по обработке персональных данных пациента осуществляются только работниками Медицинского центра, допущенными приказом директора к работе с персональными данными пациента, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.

6.2. Этапность получения и обработки персональных данных пациента.

6.2.1. При первичном посещении медицинского центра пациентом информация заносится в базу данных в регистратуре. На этом этапе регистратор отмечает паспортные данные, контактный телефон, место работы и должность, Ф.И.О специалиста к которому желает попасть пациент. Заполняется амбулаторная карта, в которой фиксируются выше перечисленные персональные данные.

Информация о пациенте хранится как на электронном, так и на бумажном носителе информации о персональных данных. Медицинский администратор (регистратор) не вправе получать информацию о состоянии здоровья пациента. Ответственным на данном этапе хранения персональных данных является медицинский регистратор, фиксирующий персональные данные.

6.2.2. Амбулаторная карта передается врачу. Врач собирает информацию о состоянии здоровья пациента, фиксирует в амбулаторную карту. Ответственным за неразглашения информации о состоянии здоровья является врач. При передаче персональных данных пациента врач должен соблюдать следующие требования:

- не сообщать персональные данные третьей стороне без письменного согласия пациента, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью пациента, а также в случаях, установленных федеральным законом;

- не сообщать персональные данные пациента в коммерческих целях без его письменного согласия;

- предупредить лиц, получающих персональные данные пациента, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные пациента, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными пациента в порядке, установленном федеральными законами;

- разрешать доступ к персональным данным пациента только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные пациента, которые необходимы для выполнения конкретных функций.

6.2.3. По окончании приема медицинская карта сдается врачом-специалистом в регистратуру Медицинского центра.

6.2.4. После получения медицинских услуг носитель, содержащий персональные данные о состоянии здоровья, диагнозе, проведенном лечении и рекомендациях хранится в регистратуре Медицинского центра.

6.2.5. Все меры конфиденциальности при сборе, обработке и хранении персональных данных пациента распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

6.2.6. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.

6.2.7. С работниками, ответственными за хранение персональных данных, а также с работниками, владеющими персональными данными в силу своих должностных обязанностей, заключаются Соглашения о неразглашении персональных данных пациентов. Экземпляр Соглашения хранится в отделе кадров.

6.2.8. Автоматизированная обработка и хранение персональных данных пациентов допускаются только после выполнения всех основных мероприятий по защите информации.

6.2.9.  Проведение уборки помещения должно производиться в присутствии ответственного лица.

6.2.10. Регламент  работы с медицинской документацией утверждён приказом Медицинского центра.

6.3. Обработка персональных данных работника.

6.3.1. Запрещается требовать от лица, поступающего на работу в Медицинский центр, документы помимо предусмотренных Трудовым кодексом РФ, иными федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации.

6.3.2. Персональные данные субъектов хранятся в электронных базах данных и на бумажных носителях в помещении отдела кадров (регистратуре). Для этого используются специально оборудованные шкафы и сейфы. Личные дела уволенных субъектов хранятся в архиве.

6.3.3. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, электронные базы). В общедоступные источники персональных данных могут включаться фамилия, имя, отчество, должность, подразделение, служебные телефоны и адрес электронной почты.

6.3.4. Сведения о начислении и выплате заработной платы работникам Медицинского центра хранятся в электронных базах данных и на бумажных носителях в помещении бухгалтерии. По истечении сроков хранения, установленных законодательством РФ, данные сведения передаются в архив.

6.3.5. Конкретные обязанности по ведению, хранению личных дел субъектов, заполнению, хранению и выдаче трудовых книжек, иных документов, отражающих персональные данные субъектов, возлагается на работников отдела кадров и регистратуры.

6.4. Хранение персональных данных.

6.4.1. Персональные данные субъектов хранятся в электронных базах данных, которые могут быть подключены к локальной сети организации, а также на бумажных носителях.

Доступ к электронным базам данных ограничен паролем. Возможна передача персональных данных пациентов между структурными подразделениями с использованием учтенных съемных носителей с использованием технических и программных средств защиты информации, с доступом только для работников центра, допущенных к работе с персональными данными пациентов Приказом Главного врача и только в объеме, необходимом данным работникам для выполнения ими своих должностных обязанностей.

6.4.2. Журналы и другая медицинская документация, находящиеся в обработке и содержащие персональные данные пациентов, оформляются и хранятся в подразделениях медицинского центра. Прочие документы, используемые при оказании медицинской помощи и содержащие персональные данные пациентов (акты, направления, договоры, квитанции и пр.), после оформления передаются работнику, допущенному к работе с персональными данными, в должностные обязанности которого входит обработка этих данных.

Хранение текущей и оконченной производством документации, содержащей персональные данные пациентов и работников, осуществляется во внутренних подразделениях Медицинского центра, а также в помещениях, предназначенных для хранения отработанной документации.

Ответственные лица за хранение документов, содержащих персональные данные пациентов и работников, назначены Приказом главного врача Медицинского центра.

6.4.3. Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.

7. Распространение персональных данных

7.1. Медицинский центр не вправе распространять персональные данные работников третьим лицам без согласия работника на передачу таких данных.

7.2. Согласие на обработку персональных данных, разрешенных для распространения, оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных.

7.3. Медицинский центр обязан обеспечить субъекту возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на распространение персональных данных.

7.4. В случае если из предоставленного субъектом согласия на распространение персональных данных не следует, что субъект согласился с распространением персональных данных, такие персональные данные обрабатываются Медицинским центром без права распространения.

7.5. Согласие субъекта на распространение персональных данных может быть предоставлено Медицинскому центру:

- непосредственно;

- с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

7.6. В согласии на распространение персональных данных субъект вправе установить запреты на передачу этих персональных данных Медицинскому центру, а также запреты на обработку или условия обработки этих персональных данных неограниченным кругом лиц.

7.7. Передача (распространение, предоставление, доступ) персональных данных, разрешенных субъекту для распространения, должна быть прекращена в любое время по его требованию. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) работника, а также перечень персональных данных, обработка которых подлежит прекращению.

7.8. Субъект вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений Федерального закона от 27.07.2006 № 152-ФЗ или обратиться с таким требованием в суд. Медицинский центр или третье лицо обязано прекратить передачу (распространение, предоставление, доступ) персональных данных в течение трех рабочих дней с момента получения требования субъекта.

8. Обеспечение безопасности персональных данных

8.1. В целях защиты персональных данных от неправомерных действий (уничтожения, изменения, блокирования, копирования, распространения и др.) Медицинским центром применяется комплекс правовых, организационных, и технических мер по обеспечению безопасности персональных данных, составляющий систему защиты персональных данных.

8.2. Работники Медицинского центра, получившие доступы к персональным данным, обязаны не раскрывать третьим лицам и не распространять их без согласия субъекта персональных данных, если иное не предусмотрено ФЗ.

8.3.  Применяются комплексные меры по обеспечению безопасности персональных данных, которые обеспечивают установленный уровень защищенности персональных данных при их обработке в информационной системе Медицинского центра. Применяются следующие организационно-технические меры:

- назначение ответственного за обеспечение безопасности персональных данных в информационной системе;

- парольная защита доступа пользователей к информационной системе персональных данных;

- осуществление антивирусного контроля, предотвращение внедрения в корпоративную сеть вредоносных программ (программ-вирусов) и программных закладок;

- обучение работников, использующих средства защиты информации, применяемые в информационных системах персональных данных, правилам работы с ними.

8.4. Для защиты персональных данных соблюдается ряд мер:

- назначение должностных лиц, ответственных за организацию обработки и защиты персональных данных;

- определение и регламентация состава лиц, имеющих право доступа (входа) в помещение, в котором находятся персональные данные;

- ознакомление работников с требованиями федерального законодательства и нормативных документов Медицинского центра по обработке и защите персональных данных;

- технические средства охраны, сигнализации.

9. Права субъекта персональных данных

9.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и даёт согласие на их обработку свободно, своей волей и в своём интересе. Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.

9.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами.

9.3. Субъект персональных данных вправе требовать от Медицинского центра уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

9.4. Обработка персональных данных в целях продвижения товаров, работ, услуг на рынке путём осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации допускается только при условии предварительного согласия субъекта персональных данных.

9.5. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме субъекта персональных данных.

9.6. Субъект персональных данных имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

10. Доступ к персональным данным

10.1. Доступ к персональным данным физического лица имеют должностные лица, непосредственно использующие их в служебных целях.

10.2. Сведения о пациенте могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением копии нотариально заверенного заявления пациента.

10.3. Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.

10.4. Персональные данные пациента могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого пациента.

11. Заключительные положения

11.1. Настоящее Положение вступает в силу с момента его утверждения директором директора Медицинского центра.

11.2. При необходимости приведения настоящего Положения в соответствие с вновь принятыми законодательными актами, изменения вносятся на основании приказа директора Медицинского центра.

11.3. Настоящее Положение распространяется на всех пациентов, обращающихся за медицинской помощью в Медицинский центр, а также сотрудников Медицинского центра.

11.4. Иные права и обязанности Медицинского центра, как оператора персональных данных, определяются законодательством Российской Федерации в области персональных данных.

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут в соответствии с федеральными законами ответственность:

- дисциплинарную (замечание, выговор, увольнение);

- административную (предупреждение или административный штраф);

- гражданско-правовую (возмещение причиненного убытка).