Политика в области обработки персональных данных

Политика в области обработки персональных данных

УТВЕРЖДАЮ

Директор

центр НОРИС»

_______________

12 января 2014 г.

Политика в области обработки персональных данных

введен приказом № 26 от 12.01.2014 г.

Стерлитамак 2014

1. Общие положения

Общество с ограниченной ответственностью центр НОРИС» (далее — медцентр) осуществляет свою деятельность в соответствии с действующим законодательством Российской Федерации по направлениям, обозначенным в полученных лицензиях на осуществление медицинской деятельности. Оказание медицинских услуг предполагает обработку и хранение персональных данных пациентов в автоматизированной информационной системе на территории г. Стерлитамак республики Башкортостан. В соответствии с действующим законодательством медцентр выполнил комплекс технических и организационных мероприятий для обеспечения безопасности обрабатываемых и хранимых персональных данных.

Одна из основных задач в работе медцентра - соблюдение действующего законодательства Российской Федерации в области информационной безопасности, а так же требований федерального закона от 27.06.2006 года №152-ФЗ «О персональных данных», основной целью которого является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Медцентр НОРИС осуществляет обработку данных о состоянии здоровья пациентов в целях оказания медицинских услуг, установления медицинского диагноза. Обработка персональных данных осуществляется лицами, профессионально занимающимися медицинской деятельностью и обязанными в соответствии с законодательством Российской Федерации сохранять врачебную тайну.

Настоящая политика в области обработки персональных данных (далее — политика) является систематизированным изложением целей, принципов, способов и условий обработки персональных данных, сведений о реализуемых требованиях к порядку обработки и защите персональных данных и разработана в соответствии с:

Федеральным законом от 27 июля 2006 г. «О персональных данных»;

Постановлением Правительства Российской Федерации от 1 ноября 2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

Постановлением Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

Приказом ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

Руководящим документом ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 г.;

Руководящим документом ФСТЭК России «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 14 февраля 2008 г.;

«Специальными требованиями и рекомендации по технической защите конфиденциальной информации (СТР-К)» ФСТЭК России.

2.  Цель и задачи обработки персональных данных

Целью обработки, включая сбор, запись, систематизацию, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, является оказание квалифицированной медицинской помощи и исполнение обязательств медцентра перед пациентом по договору с ним, связь с пациентом в случае необходимости, а также выполнение условий трудового договора с работниками организации в соответствии с действующим трудовым законодательством.

Задачами обработки персональных данных является:

Формирование и обработка расчетных документов для организаций, прикрепивших пациентов с целью оказания медицинских услуг;

Бухгалтерский учет и контроль финансово-хозяйственной деятельности медцентра и исполнения финансовых обязательств по заключенным договорам;

Ведение амбулаторных карт (в т. ч. в электронной форме);

Поддержание контактов с субъектом персональных данных или его законными представителями;

Проведение лечебно-профилактических мероприятий;

Иные задачи, необходимые для повышения качества и эффективности деятельности.

3. Состав обрабатываемых персональных данных пациентов

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Пациент — физическое лицо, которому оказывается медицинская помощь или которое обратилось за оказанием медицинской помощи независимо от наличия у него заболевания и от его состояния.

При обращении в медцентр пациент предоставляет следующую информацию:

ФИО;

Дата рождения;

Адрес места жительства;

Паспортные данные;

Пол;

Номер телефона, факса, адрес электронной почты (по желанию);

Результаты выполненных медицинских исследований;

Другая информация, необходимая для выполнения обязательств организации в соответствии с трудовым законодательством, законодательством Российской Федерации о пенсиях, законодательством об обязательных видах страхования.

Данные о состоянии здоровья (история болезни, цель посещения, исход лечения, результаты исследований и т. д.);

Данная информация собирается исключительно с письменного согласия на обработку персональных данных субъекта персональных данных или его законного представителя. При отказе субъекта персональных данных дать согласие ему объясняются последствия такого отказа.

4.  Обработка персональных данных

Обработка персональных данных в организации происходит как не автоматизированным, так и автоматизированным способом.

К обработке персональных данных допускаются только сотрудники, прошедшие определенную процедуру допуска, к которой относятся:

·  ознакомление сотрудника с локальными нормативными актами организации (положения, инструкции и т. д.), строго регламентирующими порядок и процедуру работы с персональными данными;

·  взятие с сотрудника расписки о соблюдении конфиденциальности в отношении персональных данных при работе с ними;

·  получение сотрудником и использование в работе индивидуальных атрибутов доступа к информационным системам, содержащим в себе персональные данные. При этом каждому сотруднику выдаются минимально необходимые для исполнения трудовых обязанностей права на доступ в информационные системы.

Сотрудники, имеющие доступ к персональным данным, получают только ту информацию, которая необходима им для выполнения конкретных трудовых функций.

5. Принципы обработки персональных данных

Персональные данные пациентов медцентр получает только лично от пациента или от его законного представителя. Персональные данные пациента могут быть получены с его слов и не проверяются.

При обработке персональных данных медцентр придерживается следующих принципов:

- обработка персональных данных исключительно с целью исполнения своих обязательств по договору оказания услуг, а также по трудовому договору;

- сбор только тех персональных данных, которые минимально необходимы для достижения заявленных целей обработки;

- выполнение мер по обеспечению безопасности персональных данных при их обработке и хранении;

- соблюдение прав субъекта персональных данных на доступ к его персональным данным;

- соблюдение законности получения, обработки, хранения, а также других действий с персональными данными;

- соответствие сроков хранения, объема и содержания обрабатываемых персональных данных и также способов обработки персональных данных - целям обработки;

- достовернось персональных данных, их актуальность и достаточность для целей обработки,

- недопустимость объединения баз данных с персональными данными, обработка которых осуществляется в целях, несовместимых между собой;

- ограничение обработки персональных данных при достижении конкретных и законных целей;

Работники медцентра и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Персональные данные подлежат уничтожению или обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.

6. Меры по обеспечению безопасности персональных данных

при их обработке

Медцентр принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

В соответствии с действующим законодательством в целях выполнения обязательств по обеспечению безопасности персональных данных в медцентре:

- Назначен ответственный за организацию обработки персональных данных;

- Определен список лиц, допущенных к работе с персональными данными;

- Разработаны и утверждены локальных нормативных акты, рабочие инструкции по порядку обработки персональных данных;

- Определены угрозы безопасности персональных данных при их обработке;

- Проводятся периодические внутренние проверки состояния защиты информационной системы персональных данных (далее — ИСПДн);

- Применяются средства защиты информации, прошедшие в установленном порядке процедуру оценки соответствия;

- Применяются технические меры, снижающие вероятность реализаций угроз безопасности персональных данных;

- Производится учет машинных носителей персональных данных;

- Приняты соответствующие меры по защите от несанкционированного доступа к персональным данным (аудит действий пользователей в ИСПДн, разграничение доступа пользователей к персональным данным);

- Осуществляется резервное копирование баз данных, содержащих персональные данные, для возможности их восстановления в случае несанкционированной модификации или уничтожения;

- Произведена оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения законодательства в сфере защиты персональных данных и соотношение причиненного вреда с принятыми мерами;

Все работники медцентра, осуществляющие обработку персональных данных, ознакомлены под роспись с требованиями к защите персональных данных, положениями законодательства Российской Федерации о персональных данных, локальными актами по вопросам обработки персональных данных, а также обучены правилами работы в ИСПДн.

7. Передача персональных данных третьим лицам

Передача персональных данных третьим лицам возможна только с согласия пациента и только с целью исполнения обязательств медцентра в рамках существующих договорных отношений, кроме случаев, когда такая обязанность у медентра наступает в результате требований действующего законодательства или при поступлении запроса от уполномоченных государственных органов. В данном случае медцентр ограничивает передачу персональных данных запрошенным объемом.

Персональные данные пациента (в том числе результаты исследований) могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого пациента, за исключением случаев, когда передача персональных данных без его согласия допускается действующим законодательством Российской Федерации. В качестве такого разрешения могут выступать:

- нотариально заверенная доверенность;

- собственноручно написанная пациентом доверенность, заверенная уполномоченным сотрудником медцентра.

8. Права субъекта персональных данных

Пациент, как Субъект персональных данных, имеет право:

- требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

- требовать перечень своих персональных данных, обрабатываемых медцентром и источник их получения;

- получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;

- требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях;

- обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;

- иные права, предусмотренные действующим законодательством Российской Федерации;

9. Заключительные положения

Медцентр обеспечивает неограниченный доступ к Политике, в том числе размещает ее на своем официальном сайте.

Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных, но не реже одного раза в три года.

Контроль исполнения требований настоящей Политики осуществляется ответственным за обеспечение безопасности персональных данных в медцентре.

Ответственность должностных лиц медцентра, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с действующим законодательством Российской Федерации и внутренними документами медцентра.

Все предложения или вопросы по поводу настоящей Политики следует сообщать в администрацию медцентра.

Настоящая Политика обработки персональных данных действует в отношении всей информации, которую администрация медцентра может получить о пользователе во время использования им сервисов сайта. Использование сервисов сайта означает безоговорочное согласие пользователя с настоящей Политикой и указанными в ней условиями обработки его персональной информации. В случае несогласия с этими условиями пользователь должен воздержаться от использования сервисов сайта.