Политика конфиденциальности

Положение об обработке персональных данных.

1. Общие положения
1.1. Настоящее Положение об обработке персональных данных устанавливает процедуры, направленные на выявление и предотвращение нарушений законодательства Российской Федерации в сфере персональных данных, а также определяющие для каждой цели обработки персональных данных содержание обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, сроки их обработки и хранения, порядок уничтожения при достижении целей обработки или при наступлении иных законных оснований (далее – Положение).
1.2. Организация имеет право вносить изменения в настоящееПоложение. При внесении изменений в заголовке указывается дата последнего обновления редакции. Новая редакция Положения вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией.
1.3. Положение разработано в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Федеральный закон), гл. 14 Трудового кодекса Российской Федерации от 13.12.2001 № 197-ФЗ.
1.4. Субъектами персональных данных являются сотрудники ООО «ЛДЦ «Фармленд»», граждане Российской Федерации, информация о которых содержится в информационных системах ООО «ЛДЦ «Фармленд»».
1.5. Целями Положения являются:
а) обеспечение защиты прав и свобод при обработке персональных данных сотрудников ООО «ЛДЦ «Фармленд»», персональных данных граждан, содержащихся в информационных системах ООО «ЛДЦ «Фармленд»».
б) установление ответственности сотрудников ООО «ЛДЦ «Фармленд»»за невыполнение нормативных правовых актов, регулирующих обработку и защиту персональных данных.

2.Сбор и обработка персональных данных пациентов

2.1. ООО «ЛДЦ «Фармленд»» (далее - Организация) в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» является оператором, осуществляющим обработку персональных данных, а также определяющим цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (далее – операторперсональныхданных).
2.2. Обработка персональных данных в ООО «ЛДЦ «Фармленд»»выполняется с использованием средств автоматизации или без использования таких средств, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных субъектов, персональные данные которых обрабатываются в ООО «ЛДЦ «Фармленд»».
2.3. Сбор и обработка персональных данных осуществляется исключительно с письменного согласия пациента, полученного при заключении договора на оказание медицинских услуг. В Организации не производится обработка персональных данных, несовместимая с целями их сбора. Образец формы заявления о согласии на обработку персональных данных, размещен в Приложении № 3.Согласие также может быть включено в текст договора на оказание медицинских услуг, при этом подписав договор, пациент дает согласие на обработку персональных данных.
2.4. Персональные данные пациента относятся к конфиденциальной информации.
2.5. Обработка персональных данных может осуществляться для статистических, научных целей и в целях маркетинга, при условии обязательного обезличивания защиты персональных данных.
2.6.Если персональные данные пациента возможно получить только у третьей стороны, то пациент должен быть уведомлен об этом и от него должно быть получено письменное согласие (либо письменный отказ). В письменном уведомлении оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных (например, оформление запроса в медицинское учреждение о прохождении обследования и лечения и т.п.) и последствиях отказа субъекта дать письменное согласие на их получение.
2.7. К числу массовых потребителей персональных данных вне учреждения относятся государственные и негосударственные функциональные структуры: налоговые инспекции; правоохранительные органы; органы статистики; страховые агентства; военкоматы; органы социального страхования; пенсионные фонды; подразделения федеральных, областных и муниципальных органов управления. Надзорно - контрольные органы имеют доступ к информации только в сфере своей компетенции, в порядке и на условиях, установленных законодательством РФ.

3. Хранение и защита персональных данных субъектов персональных данных

3.1. Персональные данные субъектов хранятся на бумажных и электронных носителях.
3.2. Обязанности по ведению, хранению историй болезни (амбулаторных карт) пациентов, заполнению, и передаче их и иных документов, отражающих персональные данные пациента, возлагаются на сотрудников Организации.
3.3. Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.
3.4. При получении сведений, составляющих персональные данные пациентов,
заинтересованные лица имеют право получать только те персональные данные, которые необходимы для выполнения конкретных функций и заданий.
3.5. Сотрудники Организации, имеющие доступ к персональным данным, обязаны принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, модифицирования, блокирования, копирования, распространения, а также от иных неправомерных действий в отношении данной информации.
3.6. Сотрудники обеспечивающие электронную информационную защиту принимают следующие меры по защите хранящейся на сервере информации:
- ограничение сетевого доступа на сервер для определенных пользователей;
- организацию в отдельном сегменте сети всех компьютеров пользователей и серверов с ограниченным доступом из локальной сети.
- организацию контроля технического состояния серверов и уровней защиты и восстановления информации;
- проведение регулярного резервного копирования информации;
-ведение аудита действий пользователей и своевременное обнаружение фактов несанкционированного доступа к информации;
3.7. Защита персональных данных пациентов в Организации возлагается на:
­ директора учреждения;
­ главного врача;
­ зам. главного врача;
­ уполномоченного по информационной безопасности;
­ системного администратора;
­ работников бухгалтерии (ведение документации по учету данных пролеченных пациентов);
­ программистов;
­ врачей и средний медицинский персонал;
­ администраторов Организации.

4. Передача персональных данных субъектов ПД

4.1. При передаче персональных данных субъектов сотрудники Организации, имеющие доступ к персональным данным, должны соблюдать следующие требования:
4.1.1. Не сообщать персональные данные пациента третьей стороне без письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в других случаях, предусмотренных федеральными законами. Учитывая, что действующее законодательство РФ не определяет критерии ситуаций, представляющих угрозу жизни или здоровью пациента, Организация в каждом конкретном случае делает самостоятельную оценку серьезности, неминуемости, степени такой угрозы. Если же лицо, обратившееся с запросом, не уполномочено федеральным законом на получение персональных данных пациента, либо отсутствует письменное согласие пациента на предоставление его персональных сведений, либо, по мнению сотрудника, отсутствует угроза жизни или здоровью пациента, Организация отказывает в предоставлении персональных данных.
4.1.2. Запрещено сообщать персональные данные пациента в коммерческих целях без его письменного согласия.
4.1.3. Предупредить лиц, получающих персональные данные пациента, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
4.1.4. Разрешается доступ к персональным данным пациентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные субъектов, которые необходимы для выполнения конкретных функций.
4.1.5.В случае передачи истории болезни от врача к врачу или из кабинета в кабинет данная передача проводится в интересах пациента и только через ресепшен.
4.2. Требования п.4.1. Положения не подлежат изменению, исключению, так как являются обязательными для медицинской организации и пациентов.

5. Обязанности пациента и Организации.

5.1. В целях обеспечения достоверности персональных данных пациент обязан:
5.1.1. При записи на прием к врачу предоставить полные достоверные данные о себе.
5.1.2. В случае изменения сведений, составляющих персональные данные, пациент должен предоставить данную информацию для внесения изменений.
5.2. Организация обязана:
5.2.1. Осуществлять защиту персональных данных пациента.
5.2.2. Обеспечить хранение медицинской и др. документации. При этом персональные данные не должны храниться дольше, чем это оправдано выполнением задач, для которых они собирались, или дольше, чем это требуется в интересах лиц, о которых собраны данные.
5.2.3. Заполнение документации, содержащей персональные данные пациента, осуществляется в соответствии с унифицированными формами первичной учетной документации, медицинской документации, утвержденными компетентными органами.
5.2.4. Организация обязана, по письменному заявлению пациента не позднее трех рабочих дней, со дня подачи этого заявления выдать копии документов, связанных с его лечением. Выписку из истории болезни (амбулаторной карты) безвозмездно, другие документы на возмездной основе.
5.2.5. Пациенты, их законные представители, а также представители, действующие от их имени по доверенности,должны быть ознакомлены под расписку с документами Организации, устанавливающими порядок обработки персональных данных субъектов, а также их права и обязанности в этой области.
5.2.6. Все сотрудники, имеющие доступ к персональным данным субъектов, обязаны подписать соглашение о неразглашении персональных данных. Форма соглашения о неразглашении персональных данных представлена в приложении № 4 к Положению об обработке персональных данных в ООО «ЛДЦ «Фармленд»»

6. Права субъектов в целях защиты персональных данных

6.1. Субъект ПДн имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
– подтверждение факта обработки персональных данных оператором;
– правовые основания и цели обработки персональных данных;
– цели и применяемые оператором способы обработки персональных данных;
–наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
– обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
– сроки обработки персональных данных, в том числе сроки их хранения;
– порядок осуществления субъектом персональных данных прав, предусмотренных Законом «О персональных данных»;
– информацию об осуществленной или о предполагаемой трансграничной передаче данных;
– наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
– иные сведения, предусмотренные настоящим Законом или другими федеральными законами.
6.2. Субъект ПДн вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
6.3. Определение своих представителей для защиты своих персональных данных.
6.4. Обжалование в суд любых неправомерных действий или бездействий Организации при обработке и защите его персональных данных.

7. Ответственность за нарушение норм, регулирующих получение, обработку и защиту персональных данных субъекта

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных пациента, привлекаются к ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

8. Заключительные положения

8.1. Настоящее Положение вступает в силу с момента его утверждения главным врачом и согласования с директором учреждения.
8.2. Настоящее Положение доводится до сведения всех сотрудников Организации под роспись.