задать вопрос

Положение о защите персональных данных в Центре обработки данных и автоматизированных рабочих местах РИСЗ

Основные термины и сокращения

Термин /сокращение

Значение

АРМ

Автоматизированное рабочее место пользователя

ИС

Информационная система

ИСПДн

Информационная система персональных данных

МО

Медицинская организация

ПДн

Персональные данные

СУБД

Система управления базами данных

РИСЗ

АКЛ, PSM, 1С:Бухгалтерия

ЦОД

Центр обработки данных ООО МЦ «Доктор ТАФИ»



1. Общие положения

Настоящее Положение об обработке и защите персональных данных в РИСЗ на уровне ЦОД и МО (далее - Положение) определяет порядок сбора, хранения, передачи и любого другого использования персональных данных, в соответствии с законодательством Российской Федерации и гарантии конфиденциальности персональных данных.

Настоящее Положение разработано в соответствии с Конституцией РФ, Трудовым кодексом РФ, Федеральным законом от 27.07.06г. № 152-ФЗ «О персональных данных» (в ред. от 27.07.2010г. № 204-ФЗ), Федеральным законом от 27.07.06г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 29.07.04г. №98-ФЗ «О коммерческой тайне», Федеральным законом от 22.10.04г. № 125-ФЗ «Об архивном деле в Российской Федерации», указанием Федерального агентства по образованию от 22. 10. 09г. №17-187 «Об обеспечении защиты персональных данных», Федеральным законом РФ от 22.07.1993г. № 5487-1 «Основы законодательствава Российской Федерации об охране здоровья граждан (в ред. от 28.09.2010г. № 243-ФЗ)».

2. Основные понятия:

Для целей настоящего Положения используются следующие понятия:

· Оператор персональных данных (далее оператор) – ООО МЦ «Доктор ТАФИ»; Центр обработки данных ООО МЦ «Доктор ТАФИ» (далее – ЦОД); Медицинская организация ООО МЦ «Доктор ТАФИ» (далее МО), осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;

· Персональные данные - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, информация о состоянии здоровья, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация о физическом лице.

· Субъект – субъект персональных данных.

· Персональные данные пациента - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

· Обработка персональных данных - действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

· Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

· Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

· Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

· Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

· Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

· Врачебная тайна – соблюдение конфиденциальности информации о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иных сведений, полученных при его обследовании и лечении;

3. Общие требования при обработке
персональных данных

При обработке персональных данных должны соблюдаться следующие требования:

· соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Оператора;

· соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

· достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

· недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных;

3.1. Оператор при обработке персональных данных пациента обязаны соблюдать следующие общие требования:

· обработка персональных данных пациента может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, для осуществления государственной политики в сфере здравоохранения, обеспечивающей необходимые условия при реализации прав гражданина на охрану здоровья, получение медицинской помощи, лекарственного обеспечения, участия в реализации государственной политики в области обязательного медицинского страхования граждан в соответствии с законодательством Российской Федерации и Приморского края, контроля количества и качества оказанной пациенту медицинской помощи;

· при определении объема и содержания, обрабатываемых персональных данных пациента, Оператор должен руководствоваться Конституцией Российской Федерации, Федеральным законом № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», законодательством РФ в сфере защиты персональных данных и обработки информации, и иными Федеральными законами и региональными нормативными актами в области защиты персональных данных.

· защита персональных данных пациента от неправомерного их использования или утраты должна быть обеспечена Оператором за счет его средств в порядке, установленном Федеральным законом и другими нормативными документами;

· пациенты или их представители по их запросу должны быть ознакомлены с документами МО, устанавливающими порядок обработки персональных данных пациентов, а также об их правах и обязанностях в этой области.

4. Сбор персональных данных

Персональные данные поступают в РИСЗ из двух источников – импорт данных регионального фрагмента реестра застрахованных ОМС и непосредственный сбор непосредственно от субъекта персональных данных.

При сборе персональных данных должны соблюдаться следующие требования:

· Субъект самостоятельно принимает решение о предоставление своих персональных данных и дает письменное согласие на их обработку оператором.

· В случае недееспособности либо несовершеннолетия субъекта персональных данных все персональные субъекта следует получать от его законных представителей. Законный представитель самостоятельно принимает решение о предоставлении персональных данных и дает письменное согласие на их обработку оператором.

· Согласие на обработку персональных данных может быть отозвано субъектом персональных данных.

· Письменное согласие не требуется, если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных, в случае импорта персональных данных из регионального фрагмента реестра застрахованных ОМС, других случаях, предусмотренных Федеральным и Региональным законодательством.

· Запрещается получать и обрабатывать персональные данные субъекта о его политических, религиозных и иных убеждениях и частной жизни.

· Запрещается получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.

5. Хранение и обработка персональных данных

При хранении и обработке персональных данных должны соблюдаться следующие требования:

· Персональные данные пациентов хранятся в электронном виде на сервере баз данных РИСЗ. Доступ к электронным базам данных ограничен паролем.

· Возможна передача персональных данных пациентов по внутренней сети МО с использованием технических и программных средств защиты информации, с доступом только для работников Оператора, допущенных к работе с персональными данными работников приказом главного врача и только в объеме, необходимом данным работникам для выполнения своих должностных обязанностей.

· Для обеспечения хранения персональных данных пациентов определяются следующие оснащенные средствами защиты рабочих мест: Помещение регистратуры МО, врачебные кабинеты, ординаторские стационарных отделений и другие помещения, где находятся АРМ, имеет ограниченный доступ в течение рабочего дня, по окончании рабочего дня закрывается на ключ.

· Здания Оператора находятся под круглосуточной охраной. Также здания снабжены пожарной сигнализацией.

· Хранение персональных данных пациентов осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

6. Передача персональных данных

При передаче персональных данных должны соблюдаться следующие требования:

· Передача персональных данных пациентов третьим лицам осуществляется Оператором только с письменного согласия пациента, с подтверждающей визой главного врача, за исключением случаев, предусмотренных статьей 13 ФЗ № 323:

o в целях проведения медицинского обследования и лечения гражданина, который в результате своего состояния не способен выразить свою волю, с учётом положений пункта 1 части 9 статьи 20 указанного Федерального закона;

o при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;

o по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органа уголовно- исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля за поведением условно осужденного, осужденного, в отношении которого отбывание наказания отсрочено, и лица, освобожденного условно-досрочно;

o Надпись: L
в случае оказания медицинской помощи несовершеннолетнему в соответствии с пунктом 2 части 2 статьи 20 указанного Федерального закона, а также несовершеннолетнему, не достигшему возраста, установленного частью 2 статьи 54 указанного Федерального закона, для информирования одного из его родителей или иного законного представителя;

o в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинён в результате противоправных действий;

o в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов, кадровых служб и военно-врачебных (врачебно- летных) комиссий федеральных органов исполнительной власти, в которых федеральным законом предусмотрена военная и приравненная к ней служба;

o в целях расследования несчастного случая на производстве и профессионального заболевания;

o при обмене информацией медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства Российской Федерации о персональных данных;

o в целях осуществления учета и контроля в системе обязательного социального страхования;

o в целях осуществления контроля качества и безопасности медицинской деятельности в соответствии с указанным Федеральным законом.

· Лица, которым в установленном законом порядке переданы сведения, составляющие врачебную тайну, наравне с медицинскими и фармацевтическими работниками несут ответственность за разглашение врачебной тайны дисциплинарную, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.

· Оператор обеспечивает ведение журнала учета выданных персональных данных пациентов, в котором регистрируются поступившие запросы, фиксируются сведения о лице, направившем запрос, дата передачи персональных данных, а также отмечается, какая именно информация была передана.

· В случае если лицо, обратившееся с запросом, не уполномочено Федеральным законом на получение персональных данных пациента, либо отсутствует письменное согласие пациента на предоставление его персональных данных, Оператор обязан отказать в предоставлении персональных данных. В данном случае лицу, обратившемуся с запросом, выдаётся в мотивированный отказ в предоставлении персональных данных в письменной форме, копия отказа хранится в МО.

· В целях выполнения необходимых условий для реализации конституционных прав граждан на охрану здоровья, получение медицинской помощи, лекарственного обеспечения, профилактики инвалидности и медицинской реабилитации инвалидов, оказания медицинской и профилактической помощи населению, санаторно-курортного лечения возможна передача персональных данных пациентов при наличии письменного согласия пациента, в уполномоченные региональные и федеральные органы исполнительной власти по отрасли здравоохранения и социального развития, федеральные и региональные Фонды, страховые медицинские организации, другие медицинские и фармацевтические организации, участвующие в реализации Программы государственных гарантий оказания гражданам бесплатной медицинской помощи, в том числе государственной политики в области обязательного медицинского страхования граждан и ДМС, реализации приоритетных национальных проектов и целевых программ по отрасли здравоохранение, обеспечении отдельных категорий граждан необходимыми лекарственными средствами, а также работодателю – в случаях проведения профилактических медицинских осмотров в соответствии с заключенным между Оператором и работодателем пациента договором.

· Передача указанных сведений и документов осуществляется с согласия пациента. Согласие пациента оформляется письменно в виде отдельного документа. После получения согласия пациента дальнейшая передача указанных сведений и документов, данных лицам дополнительного письменного согласия не требует.

7. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕНТОВ

Защита информации, в том числе персональных данных, представляет собой принятие правовых, организационных и технических мер, направленных на:

· обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

· соблюдение конфиденциальности информации ограниченного доступа,

· реализацию права на доступ к информации.

Для обеспечения безопасности персональных данных пациентов при автоматизированной обработке предпринимаются следующие меры:

· АРМ, с которых осуществляется доступ к персональным данным (БД РИСЗ), защищены паролями доступа. Пароли устанавливаются Администратором безопасности МО и сообщаются индивидуально работнику, допущенному к работе с персональными данными и осуществляющему обработку персональных данных пациентов на данном АРМ.

· Иные меры, предусмотренные Положением об организации работ по обеспечению проведению безопасности ПДн при их обработке в ИСПДн.

· Обработка персональных данных осуществляется с соблюдением порядка, предусмотренного Постановлением Правительства от 01.11. 2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

8. Уничтожение персональных данных

· Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

· Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.

9. Права и обязанности пациента
в области защиты его персональных ДАННЫХ

В целях обеспечения защиты персональных данных, хранящихся у Оператора, пациенты имеют право на:

· полную информацию об их персональных данных и обработке этих данных;

· свободный бесплатный доступ к своим персональным данным, за исключением случаев, предусмотренных федеральным законом; Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Оператор обязан сообщить пациенту или его законному представителю информацию о наличии персональных данных, относящихся к пациенту, а также предоставить возможность ознакомления с ними пациента или его законного представителя при обращении либо в течение десяти рабочих дней с даты получения запроса пациента или его законного представителя. В случае отказа в предоставлении пациенту или его законному представителю информации о наличии персональных данных Оператор обязан дать в письменной форме мотивированный ответ в срок, не превышающий семи рабочих дней со дня обращения/ получения запроса пациента или его законного представителя;

· определение своих представителей для защиты своих персональных данных;

· требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Положения;

· обжалование в суд любых неправомерных действий или бездействия Оператора при обработке и защите персональных данных.

· иные права, предусмотренные действующим законодательством;

10. Прочие положения

Настоящее Положение вступает в силу с даты его утверждения.

При необходимости приведения настоящего Положения в соответствие с вновь принятыми законодательными актами, изменения вносятся на основании приказа Главного врача.

Настоящее Положение распространяется на всех пациентов, обработка чьих персональных данных осуществляется с использованием РИСЗ, а так же сотрудников Оператора имеющих доступ и осуществляющих перечень действий с персональными данными пациентов.