Персональные данные

//Персональные данные
Персональные данные

ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕНТОВ
ООО «ЦЭР «Визит к стоматологу»

1. Общие положения

1.1. Настоящее положение принято в целях обеспечения требований защиты прав пациентов ООО «ЦЭР «Визит к стоматологу» (далее «Клиника) при обработке их персональных данных.

1.2. Положение определяет права и обязанности пациентов и сотрудников Клиники, порядок использования персональных данных. Персональные данные могут обрабатываться для целей, непосредственно связанных с деятельностью Клиники. Клиника собирает данные только в объеме, необходимом для оказания услуг в сфере стоматологии.

1.3. Настоящее Положение разработано на основе и во исполнение части 1 статьи 23, статьи 24 Конституции Российской Федерации, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», Постановления Правительства РФ №1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановления Правительства РФ №687 от 15.09.2008 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Федеральным законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона от 21.11.2011 №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».

2. Понятие, состав и принципы обработки персональных данных

2.1. Основные понятия Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2.2. Состав персональных данных К персональным данным пациентов, которые обрабатываются в Клинике относятся:
1. фамилия, имя, отчество;
2. дата рождения;
3. реквизиты документа, удостоверяющего личность;
4. адрес места жительства;
5. реквизиты полиса медицинского страхования;

2.3. Принципы обработки персональных данных Обработка персональных данных должна осуществляться на основе принципов:
1. законности целей и способов обработки персональных данных и добросовестности;
2. соответствия целей обработки персональных данных целям, заранее определенным при сборе персональных данных;
3. достоверности персональных данных и их достаточности;
4. личной ответственности сотрудников организации за сохранность и конфиденциальность персональных данных, а также носителей этой информации
5. наличие четкой разрешительной системы доступа сотрудников организации к документам и базам данных, содержащим персональные данные.

3. Согласие субъекта на обработку его персональных данных

3.1. Обработка специальных категорий персональных данных, таких как состояние здоровья, допускается только с согласия субъекта персональных данных. Согласие должно быть получено от субъекта персональных данных в письменном виде при обращении в Клинику. Письменное согласие на обработку персональных данных, данное Клиникой в соответствии с настоящим положением, означает, что пациент ознакомлен с текстом данного положения, полностью согласен с его содержанием и обязуется выполнять все его условия.

3.2. Документ, фиксирующий факт получения согласия субъекта персональных данных, включает в себя:
1. фамилию, имя, отчество, адрес пациента, номер основного документа, удостоверяющего его личность, сведения о дате его выдачи и выдавшем органе;
2. наименование и адрес Клиники;
3. цель обработки персональных данных.

3.3. С согласия гражданина или его законного представителя допускается передача сведений, составляющих врачебную тайну, другим гражданам, в том числе должностным лицам, в интересах обследования и лечения пациента, для проведения научных исследований, публикации в научной литературе, использования этих сведений в учебном процессе и в иных целях.

3.4. Предоставление сведений, составляющих персональные данные, без согласия гражданина или его законного представителя допускается:
1. в целях обследования и лечения гражданина, не способного из-за своего состояния выразить свою волю;
2. при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
3. по запросу органов дознания и следствия и суда в связи с проведением расследования или судебным разбирательством;
4. в случае оказания помощи несовершеннолетнему в возрасте, установленном частью второй статьи 24 «Основ законодательства Российской Федерации об охране здоровья граждан», для информирования его родителей или законных представителей;
5. при наличии оснований, позволяющих полагать, что вред здоровью гражданина причинен в результате противоправных действий;

4. Перечень персональных данных пациентов, обрабатываемых ООО «ЦЭР «Визит к стоматологу»

4.1 Обработка персональных данных пациента осуществляется в Клинике в целях организации медицинского обслуживания пациентов.

4.2 Персональные данные пациентов обрабатываются Клиникой на основании статьи 23, статьи 24 Конституции Российской Федерации, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», Постановления Правительства РФ №1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановления Правительства РФ №687 от 15.09.2008 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Федеральным законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона от 21.11.2011 №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», Уставом Клиники, лицензий на осуществление медицинской деятельности.

4.3 Персональные данные пациентов содержатся в следующих документах:
• Договор оказания стоматологических услуг;
• Медицинская карта;
• Информированное добровольное согласие.

4.4 Перечень персональных данных пациентов утверждается приказом Директора Клиники. Сотрудники Клиники, имеющие доступ к персональным данным пациентов, подписывают обязательство о неразглашении конфиденциальной информации.

5. Условия обработки и меры по обеспечению безопасности персональных данных пациентов ООО «ЦЭР «Визит к стоматологу»

5.1 Клиника обрабатывает персональные данные пациента путем: сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), обезличивания, использования, уничтожения неавтоматизированным способом.

5.2 Срок обработки Клиникой персональных данных пациента соответствует сроку хранения первичной медицинской документации. Пациент имеет право отозвать свое согласие на обработку его персональных данных посредством составления соответствующего письменного документа, который может быть направлен в адрес Клиники по почте заказным письмом с уведомлением, либо вручен лично под расписку представителю Клиники. В случае получения письменного заявления об отзыве согласия на обработку персональных данных, Клиника обязана прекратить обработку в течение периода времени, необходимого для завершения взаиморасчетов по оплате оказанной пациенту медицинской помощи.

5.3 Персональные данные пациентов хранятся в помещения архива, регистратуры, кабинетов Клиники, доступ в которые имеют только сотрудники Клиники, имеющие право доступа к персональным данным.

5.4 Директор Клиники утверждает Перечень лиц, имеющих доступ в помещения Клиники, в которых обрабатываются (в том числе хранятся) персональные данные, и несущих ответственность за нарушение режима защиты этих персональных данных в соответствии с законодательством РФ.

5.5 Директор Клиники может передавать персональные данные пациента третьим лицам, без его согласия только в случаях, прямо предусмотренных действующим законодательством РФ. При передаче персональных данных пациента третьим лицам главный врач Клиники предупреждает лиц, получающих данную информацию, о том, что эти данные могут быть использованы ими лишь в целях, для которых персональные данные сообщены, и требует от этих лиц письменное подтверждение соблюдения этого условия.

5.6 Персональные данные пациента уточняются, в случае их изменения, ежегодно при первом посещении пациентом Клиники в соответствующем году.

5.7 В случае обнаружения факта несоблюдения условий хранения носителей персональных данных, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, администрацией Клиники проводится разбирательство и по результатам этого разбирательства составляется соответствующий акт.

5.8 Персональные данные пациентов являются конфиденциальной информацией, не подлежащей разглашению, и не могут быть использованы для целей, не перечисленных в п. 4.1 настоящего Положения. Не допускается распространение персональных данных пациента без его письменного согласия или наличия иного законного основания.

5.9 При хранении материальных носителей персональных данных сотрудниками Клиники должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

5.10 Неавтоматизированная обработка персональных данных пациентов должна осуществляться сотрудниками Клиники с учетом особенностей и правил обработки персональных данных, предусмотренных в Постановлении Правительства РФ №687 от 15.09.2008 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и в соответствии с Правилами обработки персональных данных (политикой) Клиники.

5.11 Приказом директора Клиники назначаются сотрудники, ответственные за хранение документов, содержащих персональные данные пациентов.

5.12 иные права, обязанности, действия работников, в трудовые обязанности которых входит обработка персональных данных пациентов, определяются должностными инструкциями.

6. Права пациентов ООО «ЦЭР «Визит к стоматологу»

6.1 Пациент имеет право на получение при обращении в Клинику или при направлении им письменного запроса в Клинику (запрос должен содержать номер основного документа, удостоверяющего личность пациента или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись пациента или его законного представителя) следующей информации:
• Подтверждение факта обработки персональных данных Клиникой, а также цель такой обработки;
• Сведения о Клинике;
• Способы обработки персональных данных, применяемые Клиникой;
• Перечень обрабатываемых персональных данных и источник их получения;
• Сроки обработки персональных данных, в том числе сроки их хранения.

Пациент также имеет право на ознакомление со своими персональными данными, обрабатываемыми Клиникой, при личном обращении или направлении письменного запроса (запрос должен содержать номер основного документа, удостоверяющего личность пациента или его законного представителя, сведения о дате выдаче указанного документа и выдавшем его органе и собственноручную подпись пациента или его законного представителя). Пациент вправе требовать уточнения своих персональных данных, их уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки и пациент предоставил соответствующие сведений, подтверждающие данный факт.

6.2 Если пациент считает, что Клиника осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие Клиники в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

6.3 Пациент имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

7. Обязанности ООО «ЦЭР «Визит к стоматологу» в отношении обработки персональных данных пациентов

7.1 Клиника при обработке персональных данных пациентов принимает необходимые организационные и технические меры для защиты персональных данных от неправомерного или
случайного доступа к ним, уничтожении, изменения, копирования, распространения персональных данных, а также от иных неправомерных действий.

7.2 Клиника осуществляет передачу персональных данных пациента только в соответствии с настоящим Положением и законодательством РФ.

7.3 Клиника обязана в порядке, предусмотренном п. 6.1 настоящего Положения, сообщить пациенту или его законному представителю информацию о наличии его персональных данных, а также предоставить возможность ознакомления с ними при обращении пациента или его законного представителя либо в течение десяти рабочих дней с даты получения запроса пациента или его законного представителя. В случае отказа в предоставлении пациенту или его законному представителю при обращении либо получении запроса пациента или его законного представителя информации о наличии персональных данных о соответствующем пациенте, а также таких персональных данных Клиника обязана дать в письменной форме мотивированный ответ, содержащий ссылку на положение ч. 5 ст. 14 Федерального закона «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий семи рабочих дней со дня обращения пациента Клиники или его законного представителя либо с даты получения запроса субъекта персональных данных или его законного представителя.

7.4 Клиника обязана внести по требованию пациента необходимые изменении, уничтожить его персональные данные по предоставлении пациентом его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему пользователю и обработку которых осуществляет Клиника, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах Клиника уведомляет пациента или его законного представителя третьих лиц, которым персональные данные этого пациента были переданы.

7.5 В случае выявления недостоверных персональных данных или неправомерных действий с ними Клиника при обращении или по запросу пациента или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных осуществляет проверку фактом изложенных в обращении.

7.6 В случае подтверждения факта недостоверности персональных данных Клиника на основании документов, представленных пациентом или его законным представителем, либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные.

7.7 В случае выявления неправомерных действий с персональными данными, Клиника в срок, не превышающий трех рабочих дней с даты такого выявления, обязана устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений Клиника в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязана уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных Клиника уведомляет пациента или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, — также указанный орган.

7.8 В случае прямого отказа пациента от услуг Клиники, выраженного в письменной форме, Клиника прекращает обработку его персональных данных, уничтожает бумажные носители информации о персональных данных пациента. Уничтожение персональных данных производится Клиникой при условии, что срок хранения медицинской документации закончился.

8. Ответственность ООО «ЦЭР «Визит к стоматологу»

8.1 Защита прав пациентов, установленных настоящим Положением и законодательством РФ, осуществляется судом и уполномоченным органом по защите прав субъектов персональных данных.

8.2 В случае нарушения норм, регулирующих обработку персональных данных пациента Клиника, лица, виновные в нарушении требований ФЗ «О персональных данных» несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность.