Приложение 1

к приказу от 03 января 2012 № 02

Положение

 о защите, хранении, обработке и передаче персональных данных клиентов (пациентов) в ООО МЦ «Андро-Мед»

1.   Общие положения.

            1.1. Согласно ст. 23 Конституции РФ каждый имеет право на неприкосновенность частной жизни, личную, семейную тайну, защиту своей чести и доброго имени, реализация которого обеспечивается положением ст. 24 Конституции РФ, устанавливающим, что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается. В соответствии со статьей 61 «Основ законодательства Российской Федерации об охране здоровья граждан» информация о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иные сведения, полученные при его обследовании и лечении, составляют врачебную тайну. Не допускается разглашение сведений, составляющих врачебную тайну, лицами, которым они стали известны при обучении, исполнении профессиональных, служебных и иных обязанностей, кроме случаев, установленных действующим законодательством. Отношения, связанные с обработкой персональных данных, осуществляемой юридическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, регулируются Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

Настоящее Положение разработано в целях выполнения указанных выше норм Конституции РФ, в соответствии  с требованиями  законодательства Российской Федерации и иных нормативных правовых актов в сфере охраны здоровья населения и обработки персональных данных.  

            1.2. Настоящее Положение определяет порядок работы (получения, обработки, использования, передачи, хранения и т.д.) сотрудников медицинской организации (далее Оператор) с персональными данными пациентов и гарантии конфиденциальности сведений о пациенте, предоставленных пациентом в медицинской организации; права пациента при обработке его персональных данных; ответственность лиц за невыполнение требований норм, регулирующих обработку персональных данных пациента.

           

2.     Понятие и состав персональных данных пациента

2.1. Персональные данные пациента - информация, необходимая Оператору в связи с оказанием пациенту медицинской помощи (диагностической, лечебной, реабилитационной, профилактической и иной медицинской помощи) и касающаяся конкретного пациента.

            2.2. В целях ведения персонифицированного учета осуществляется обработка следующих персональных данных о лицах, которым оказываются медицинские услуги (пациентах):

1) фамилия, имя, отчество (последнее - при наличии);

2) пол;

3) дата рождения;

4) место рождения;

5) гражданство;

6) данные документа, удостоверяющего личность;

7) место жительства;

8) место регистрации;

9) дата регистрации;

10) страховой номер индивидуального лицевого счета (при наличии), принятый в соответствии с законодательством Российской Федерации об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования;

11) номер полиса обязательного медицинского страхования застрахованного лица (при наличии);

12) анамнез;

13) диагноз;

14) сведения об организации, оказавшей медицинские услуги;

15) вид оказанной медицинской помощи;

16) условия оказания медицинской помощи;

17) сроки оказания медицинской помощи;

18) объем оказанной медицинской помощи;

19) результат обращения за медицинской помощью;

20) серия и номер выданного листка нетрудоспособности (при наличии);

21) сведения об оказанных медицинских услугах;

22) примененные стандарты медицинской помощи;

23) сведения о медицинском работнике или медицинских работниках, оказавших медицинскую услугу.

Все персональные данные, касающиеся состояния здоровья пациента, относятся к специальным категориям персональных данных и обрабатываются в соответствии с установленным законодательством и иными нормативными правовыми актами требованиями.

3. Сбор, цели обработки и защита персональных данных пациента

3.1. Обработка персональных данных осуществляется:

- после получения письменного согласия субъекта персональных данных, составленного по утверждённой Оператором форме, соответствующей требованиям федерального закона, за исключением случаев, предусмотренных частью 2 статьи 6 ФЗ «О персональных данных»;

- после направления уведомления об обработке персональных данных в  орган государственного надзора в сфере связи, информационных технологий и массовых коммуникаций территории, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона «О персональных данных»;

- после принятия Оператором необходимых мер по защите персональных данных.

            3.2. Все персональные данные пациента следует получать лично у пациента или у его законного представителя. Если персональные данные пациента возможно получить только у третьей стороны, то пациент должен быть уведомлен об этом заранее и от него должно быть получено    письменное    согласие.

            3.3. Оператор сообщает пациенту или его законному представителю о целях обработки персональных данных, предполагаемых источниках и способах получения персональных данных и последствиях отказа пациента дать письменное согласие на их получение.

            3.4. Оператор осуществляет обработку персональных данных только после получения письменного согласия пациента (или его законного представителя) на обработку его персональных данных за исключением случаев, предусмотренных действующим законодательством.

            3.5. При обращении за медицинской помощью пациент (или его законный представитель) предоставляет Оператору персональные данные о себе в документированной форме. А именно:

  • паспорт или иной документ, удостоверяющий личность;
  • полис обязательного медицинского страхования;
  • направление (при наличии).

                При отсутствии документов пациент (или его законный представитель) предоставляют Оператору необходимые персональные данные в устной форме.

            3.6. Оператор с согласия пациента может запрашивать и получать персональные данные пациента, используя информационные системы персональных данных с применением средств автоматизации.

            3.7. Обработка Оператором персональных данных пациента осуществляется исключительно в целях оказания пациенту качественной медицинской помощи в необходимых объёмах, соблюдения требований действующего законодательства, иных нормативных правовых актов, обеспечения контроля объёмов и качества оказанной медицинской помощи.

            3.8. Оператор при   определении   объема   и   содержания   обрабатываемых   персональных данных пациента руководствуется Конституцией Российской Федерации, Основами законодательства Российской Федерации об охране здоровья граждан, иными

нормативными правовыми актами в сфере охраны здоровья населения и обработки персональных данных.  

            3.9. Защита персональных данных пациента от неправомерного  их использования  или утраты обеспечивается Оператором  за счет собственных  средств в порядке, установленном законодательством, и принятыми Оператором в соответствии с ним локальными нормативными актами.

4.  Порядок использования, хранения, передачи персональных данных пациента

4.1. Персональные данные пациентов предоставляются Оператору после получения соответствующего информированного согласия пациентов на обработку их персональных данных. Персональные данные  пациентов у Оператора содержаться в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств. В информационных системах персональные данные могут быть размещены на материальных, в том числе бумажных носителях (медицинская карта пациента, иные медицинские документы).

4.2. Доступ к обработке персональных данных пациентов (как с использованием средств автоматизации, так и без использования средств автоматизации) обеспечивается в установленном Оператором порядке.

            4.3. Конкретные обязанности по работе с информационными системами персональных данных и материальными носителями информации, в том числе с медицинскими документами, содержащими персональные данные пациентов возлагаются на сотрудников Оператора и закрепляются в должностных инструкциях.

            4.4. Работа с информационными системами персональных данных, материальными носителями, в том числе с медицинской документацией, содержащими персональные данные пациентов осуществляется в специально отведённых для этого помещениях: ординаторские, кабинеты врачей, орг.-метод. отдел, кабинет медицинской статистики, регистратура, серверная и т.д.

            4.5. Требования к месту обработки персональных данных, в том числе к серверной, обеспечивающие их защищённость устанавливаются Оператором.

            4.6. Перечень лиц, имеющих право доступа к персональным данным пациентов и обработке их персональных данных, определяется приказом руководителя Оператора.

            4.7. С лицами, допущенными к обработке персональных данных пациентов, заключается Соглашение о неразглашении.  

            4.8. Лица, допущенные в установленном порядке к обработке персональных данных, имеют право обрабатывать только те персональные данные пациентов, которые необходимы для выполнения
конкретных функций.

            4.9. Оператор при создании и эксплуатации информационных систем персональных данных пациентов с использованием средств автоматизации обеспечивает проведение классификации информационных систем в установленном порядке.

4.10. Оператор при создании и эксплуатации информационных систем персональных данных пациентов с использованием средств автоматизации и без использования средств автоматизации принимает все необходимые организационные и технические меры, обеспечивающих выполнение установленных действующим законодательством требований к обработке персональных данных.  

4.11. Оператор при осуществлении обработки персональных данных пациентов без использования средств автоматизации выполняет следующие требования.

4.11.1. При ведении журналов (реестров, книг, иных документов), содержащих персональные данные пациентов, необходимые для организации оказания медицинской помощи, Оператор соблюдает следующие условия:

- необходимость ведения такого журнала (реестра, книги, иных документов) предусматривается приказом Оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги, иных документов), сроки обработки персональных данных;

- копирование содержащейся в таких журналах (реестрах, книгах, иных документах) информации не допускается, за исключением случаев, предусмотренных действующим законодательством.

4.11.2. Обработка персональных данных пациентов, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных пациентов можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

4.11.3. Обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

4.11.4. При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

            4.11.5. Уточнение персональных данных пациента при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

4.12. С согласия пациента или его законного представителя допускается передача сведений, в том числе персональных данных, составляющих врачебную тайну, другим гражданам, в том числе должностным лицам, в интересах обследования и лечения пациента, для проведения научных исследований, публикации в научной литературе, использования этих сведений в учебном процессе и в иных целях.

            4.13. Передача   персональных   данных   пациента, составляющих врачебную тайну, без согласия пациента или его законного представителя допускается может   допускается в случаях,  предусмотренных   ст.   61  Основ законодательства Российской Федерации об охране здоровья граждан:

1) в целях обследования и лечения гражданина, не способного из-за своего состояния выразить свою волю;

2) при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;

3) по запросу органов дознания и следствия и суда в связи с проведением расследования или судебным разбирательством;

4) в случае оказания помощи несовершеннолетнему возрасте, установленном частью второй статьи 24 настоящих Основ, для информирования его родителей или законных представителей;

5) при наличии оснований, позволяющих полагать, что вред здоровью гражданина причинен в результате противоправных действий;

6) в целях проведения военно-врачебной экспертизы в порядке, установленном положением о военно-врачебной экспертизе, утверждаемым Правительством Российской Федерации.

4.14. При передаче персональных данных пациента сотрудники медицинской организации должны соблюдать следующие требования:

- не сообщать персональные данные пациента третьей стороне без письменного согласия пациента, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью пациента, а также в случаях, установленных федеральным законом;

- не сообщать персональные данные пациента в коммерческих и иных целях без его письменного согласия;

- предупредить лиц, получающих персональные данные пациента, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные пациента, обязаны соблюдать режим секретности (конфиденциальности);

- разрешать доступ к персональным данным пациентов только специально уполномоченным лицам, определенным приказом Руководителя, при этом указанные лица должны иметь право получать только те персональные данные пациента, которые необходимы для выполнения конкретных должностных функций;

- передавать персональные данные пациента представителям пациента в порядке, установленном законодательством, и ограничивать эту информацию только теми персональными данными пациента, которые необходимы для выполнения указанными представителями их функций.

4.15. Передача персональных данных от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.

4.16. Лица, которым в установленном законом порядке переданы сведения, составляющие врачебную тайну, наравне с медицинскими и фармацевтическими работниками с учетом причиненного гражданину ущерба несут за разглашение врачебной тайны дисциплинарную, административную или уголовную ответственность в соответствии с законодательством Российской Федерации, законодательством субъектов Российской Федерации.

5.     Права пациентов при обработке Оператором персональных данных пациентов

5.1.  В   целях   обеспечения   защиты   своих интересов, реализации прав и свобод в сфере персональных данных, регламентированных действующим законодательством  пациенты имеют право на:

  • предоставление Оператором полной информации об их персональных данных и обработке этих данных;
  • свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей  персональные данные пациента, за исключением случаев, предусмотренных федеральным законом;
  • определение своих представителей для защиты своих персональных данных;
  • требование об исключении или исправлении неверных или неполных персональных  данных, а также данных обработанных с нарушением действующего законодательства;
  • требование об извещении Оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные пациента, обо всех произведенных в них исключениях, исправлениях или дополнениях;
  • обжалование в суд любых неправомерных действий или бездействия Оператора при обработке и защите его персональных данных.

                 Права пациента на доступ к своим персональным данным ограничиваются в случаях, предусмотренных действующим законодательством

6.  Ответственность за нарушение норм, регулирующих обработку и защитуперсональных данных пациентов

6.1 Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных пациентов, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством.

6.2. Сотрудники Оператора, получившие в установленном порядке доступ к персональным данным пациентов, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных пациентов привлекаются Оператором к дисциплинарной ответственности в порядке предусмотренной ст. 192, 193 Трудового кодекса Российской Федерации, в исключительных случаях подлежат увольнению по подпункту В пункта 6 части первой статьи 81 Трудового кодекса РФ – разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей.

7.    Заключительные положения

Настоящее Положение вступает в законную силу с момента утверждения его руководителем Оператора и действует до утверждения нового положения.

Авторизуйтесь, чтобы получить возможность оставлять комментарии