Положение о защите персональных данных пациентов
Приложение №1
к приказу ООО «ДИАГНОСТИКА-2000»
от 20.02.2017г. №2
620026, г. Екатеринбург, ул. Энгельса, д.15 тел./факс (343) 351-08-88, (343) 351-08-80
ПОЛОЖЕНИЕ
о защите персональных данных пациентов
ООО «ДИАГНОСТИКА-2000»
I. Общие положения
1.1. Настоящее Положение о защите персональных данных пациентов ООО «ДИАГНОСТИКА-2000» (далее - Положение) разработано на основании Конституции Российской Федерации, Трудового Кодекса Российской Федерации, Закона «Об информации, информатизации и защите информации» № 149-ФЗ от 27.07.2006 г., Федерального закона Российской Федерации «О персональных данных» № 152-ФЗ от 27.07.2006 г., Федерального закона №323-ФЗ от 21.11.2011г. «Об основах охраны здоровья граждан в Российской Федерации» и другими действующими нормативными правовыми актами.
1.2. Положение о защите персональных данных пациентов ООО «ДИАГНОСТИКА-2000» от 22.04.2011г. считать утратившим силу.
1.3. Настоящее Положение определяет порядок работы медицинского центра ООО «ДИАГНОСТИКА-2000» (далее – оператор) с персональными данными пациентов (получения, обработки, использования, хранения и т.д.) и гарантии конфиденциальности сведений, предоставленных пациентом.
1.4. Персональные данные относятся к категории конфиденциальной информации.
1.5. Оператор, в соответствии со своими полномочиями, владеющий информацией о гражданах, получающий и использующий ее, несет ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
1.6. Переработанное Положение утверждается приказом директора ООО «ДИАГНОСТИКА-2000» и вступает в силу с момента подписания.
1.7. Положение является внутренним локальным нормативным актом оператора, а так же обязательным для исполнения всеми структурными подразделениями и работниками оператора.
1.8. Изменения в Положение могут быть внесены руководством в установленном действующим законодательством порядке.
1.9. Каждый работник, вновь принимаемый на работу в ООО «ДИАГНОСТИКА-2000», знакомится с настоящим Положением под личную подпись.
1.10 Настоящее Положение является общедоступным документом. Для обеспечения неограниченного доступа к документу, текст настоящего Положения размещен на общедоступном сайте в информационной сети Интернет – www.diadnostika-2000.ru
1.11. Целью настоящего Положения является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
П. Понятие, принципы и условия обработки персональных данных
2.1. В Положении используются следующие основные понятия:
1) персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
3) обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
4) распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
5) использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
6) блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
7) уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных;
8) обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
9) информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
10) конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания;
11) общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
12) субъект персональных данных – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных.
2.2. Принципы обработки персональных данных
2.2.1. Обработка персональных данных осуществляется на основе принципов:
1) законности целей и способов обработки персональных данных и добросовестности;
2) соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям оператора;
3) соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;
4) достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
5) недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.
2.2.2. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
2.3. Условия обработки персональных данных
2.3.1. Обработка персональных данных осуществляется оператором с согласия субъектов персональных данных, за исключением случаев, предусмотренных частью 2 ст.6 Федерального закона Российской Федерации «О персональных данных» № 152-ФЗ от 27.07.2006 г.
2.3.2. Согласие субъекта персональных данных, предусмотренное частью 1 ст.6 Федерального закона Российской Федерации «О персональных данных» № 152-ФЗ от 27.07.2006 г., не требуется в следующих случаях:
? обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
? обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
? обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
? обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи;
? обработка персональных данных осуществляется в целях профессиональной научной деятельности, при этом не нарушаются права и свободы субъекта персональных данных.
2.3.3. Особенности обработки специальных категорий персональных данных устанавливаются соответственно статьями 10 и 11 Федерального закона Российской Федерации «О персональных данных» № 152-ФЗ от 27.07.2006 г.
2.3.4. В случае, если оператор на основании договора поручает обработку персональных данных третьиму лицу, существенным условием договора является обязанность обеспечения указанным лицом конфиденциальности персональных данных и безопасности персональных данных при их обработке.
III. Права субъекта персональных данных
1. Согласие субъекта персональных данных на обработку своих персональных данных
1.1. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе, за исключением случаев, предусмотренных частью 2 Федерального закона Российской Федерации «О персональных данных» № 152-ФЗ от 27.07.2006 г. Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.
1.2. Настоящим Положением предусматриваются предоставления субъектом персональных данных своих персональных данных в целях защиты нравственности, здоровья, прав и законных интересов других лиц.
1.3. Обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Письменное согласие субъекта персональных данных на обработку своих персональных данных включает в себя:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
3) цель обработки персональных данных;
4) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
5) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
6) срок, в течение которого действует согласие, а также порядок его отзыва;
7) собственноручную подпись субъекта персональных данных.
1.4. Для обработки персональных данных, содержащихся в согласии в письменной форме субъекта на обработку его персональных данных, дополнительное согласие не требуется.
1.5. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает в письменной форме законный представитель субъекта персональных данных.
1.6. В случае смерти субъекта персональных данных согласие на обработку его персональных данных дают в письменной форме наследники субъекта персональных данных, если такое согласие не было дано субъектом персональных данных при его жизни.
2. Специальные категории персональных данных
2.1. Обработка специальных категорий персональных данных допускается в случаях, если:
? персональные данные относятся к состоянию здоровья субъекта персональных данных и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;
? обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
? обработка персональных данных необходима в связи с осуществлением правосудия;
? обработка специальных категорий персональных данных незамедлительно прекращается, если устранены причины, вследствие которых осуществлялась обработка.
3.Права субъекта персональных данных на доступ к своим персональным данным
3.1. Субъект персональных данных имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, а также на ознакомление с такими персональными данными, за исключением случаев, предусмотренных частью 5 Федерального закона Российской Федерации «О персональных данных» № 152-ФЗ от 27.07.2006 г. Субъект персональных данных вправе требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
3.2. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
3.3. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
3.4. Субъект персональных данных имеет право на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором, а также цель такой обработки;
2) способы обработки персональных данных, применяемые оператором;
3) сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
4) перечень обрабатываемых персональных данных и источник их получения;
5) сроки обработки персональных данных, в том числе сроки их хранения;
6) сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
3.5. Право субъекта персональных данных на доступ к своим персональным данным ограничивается в случаях, предусмотренными частью 5 Федерального закона Российской Федерации «О персональных данных» № 152-ФЗ от 27.07.2006 г.
IV. Права и обязанности оператора
4.1. Обязанности оператора при сборе персональных данных
? При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе информацию, предусмотренную частью 4 статьи 14 Федерального закона Российской Федерации «О персональных данных» № 152-ФЗ от 27.07.2006 г.
? Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные.
? Если персональные данные были получены не от субъекта персональных данных, за исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными, оператор до начала обработки таких персональных данных обязан предоставить субъекту персональных данных следующую информацию:
1) наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
2) цель обработки персональных данных и ее правовое основание;
3) предполагаемые пользователи персональных данных;
4) установленные Федеральным законом Российской Федерации «О персональных данных» № 152-ФЗ от 27.07.2006 г. права субъекта персональных данных.
4.2. Меры по обеспечению безопасности персональных данных при их обработке
При обработке персональных данных соблюдаются необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
4.3. Обязанности оператора при обращении либо при получении запроса субъекта персональных данных или его законного представителя, а также уполномоченного органа по защите прав субъектов персональных данных
4.3.1. Оператор обязан в порядке, предусмотренном статьей 14 Федерального закона Российской Федерации «О персональных данных» № 152-ФЗ от 27.07.2006 г. сообщить субъекту персональных данных или его законному представителю информацию о наличии персональных данных, относящихся к соответствующему субъекту персональных данных, а также предоставить возможность ознакомления с ними при обращении субъекта персональных данных или его законного представителя либо в течение десяти рабочих дней с даты получения запроса субъекта персональных данных или его законного представителя.
4.3.2. В случае отказа в предоставлении субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя информации о наличии персональных данных о соответствующем субъекте персональных данных, а также таких персональных данных оператор обязан дать в письменной форме мотивированный ответ, содержащий ссылку на положение части 5 статьи 14 Федерального закона Российской Федерации «О персональных данных» № 152-ФЗ от 27.07.2006 г. или иного федерального закона, являющееся основанием для такого отказа, в срок, не превышающий семи рабочих дней со дня обращения субъекта персональных данных или его законного представителя либо с даты получения запроса субъекта персональных данных или его законного представителя.
4.3.3. Оператор обязан безвозмездно предоставить субъекту персональных данных или его законному представителю возможность ознакомления с персональными данными, относящимися к соответствующему субъекту персональных данных, а также внести в них необходимые изменения, уничтожить или блокировать соответствующие персональные данные по предоставлении субъектом персональных данных или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к соответствующему субъекту и обработку которых осуществляет оператор, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах оператор обязан уведомить субъекта персональных данных или его законного представителя и третьих лиц, которым персональные данные этого субъекта были переданы.
4.3.4. Оператор обязан сообщить в уполномоченный орган по защите прав субъектов персональных данных по его запросу информацию, необходимую для осуществления деятельности указанного органа, в течение семи рабочих дней с даты получения такого запроса.
4.4. Обязанности оператора по устранению нарушений законодательства, допущенных при обработке персональных данных, а также по уточнению, блокированию и уничтожению персональных данных
4.4.1. В случае выявления недостоверных персональных данных или неправомерных действий с ними оператора при обращении или по запросу субъекта персональных данных или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к соответствующему субъекту персональных данных, с момента такого обращения или получения такого запроса на период проверки.
4.4.2. В случае подтверждения факта недостоверности персональных данных оператор на основании документов, представленных субъектом персональных данных или его законным представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные и снять их блокирование.
4.4.3. В случае выявления неправомерных действий с персональными данными оператор в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения. В случае невозможности устранения допущенных нарушений оператор в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
4.4.5. В случае достижения цели обработки персональных данных оператор обязан незамедлительно прекратить обработку персональных данных и уничтожить соответствующие персональные данные в срок, не превышающий трех рабочих дней с даты достижения цели обработки персональных данных, если иное не предусмотрено федеральными законами, и уведомить об этом субъекта персональных данных или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
4.4.6. В случае отзыва субъектом персональных данных согласия на обработку своих персональных данных оператор обязан прекратить обработку персональных данных и уничтожить персональные данные в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и субъектом персональных данных. Об уничтожении персональных данных оператор обязан уведомить субъекта персональных данных.
4.5. Ответственность за обеспечение безопасности персональных данных
? Оператор несет ответственность за разработку, введение и действенность соответствующих требованиям законодательва норм, регламентирующих получение, обработку и защиту персональных данных. Оператор закрепляет персональную ответственность работников за соблюдением установленного в ООО «ДИАГНОСТИКА-2000» режима конфиденциальности персональных данных.
? Каждый работник, получающий для работы документ, содержащий персональные данные, несет персональную ответственность за сохранность носителя и конфиденциальность информации.
? Работники, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут ответственность предусмотренную законодательством Российской Федерации.
? ООО «ДИАГНОСТИКА-2000» не несет ответственность за убытки и иные затраты, понесенные субъектами персональных данных в результате предоставления ими недостоверных и неполных персональных данных.