ПОЛОЖЕНИЕ
об обработке и защите персональных данных
работников и пациентов
ООО «Центра клинической фармакологии и фармакотерапии»
Общие положения
Положение об обработке и защите персональных данных работников и пациентов (далее – «Положение») издано и применяется обществом с ограниченной ответственностью «Центр клинической фармакологии и фармакотерапии» (далее – ООО «ЦКФФ», «оператор», «учреждение») в соответствии с пп. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Обработка персональных данных оператором осуществляется с соблюдением принципов и правил, предусмотренных Федеральным законом № 152-ФЗ от 27.07.2006 «О персональных данных»; ст.ст. 85-90 Трудового кодекса РФ; Федеральным законом № 326-ФЗ от 29.11.2010 «Об обязательном медицинском страховании в Российской Федерации»; Федеральным законом № 323-ФЗ от 21.11.2011 «Об основах охраны здоровья граждан в Российской Федерации»; приказом Минздравсоцразвития Российской Федерации № 255 от 22.11.2004 «О порядке оказания первичной медико-санитарной помощи гражданам, имеющим право на получение набора социальных услуг»; приказом Минздравсоцразвития Российской Федерации № 158н от 28.02.2011 «Об утверждении правил обязательного медицинского страхования»; приказом Минздравсоцразвития Российской Федерации № 29н от 25.01.2011 «Об утверждении Порядка ведения персонифицированного учета в сфере обязательного медицинского страхования»; приказом Минздравсоцразвития Российской Федерации № 364 от 28.04.2011 «Об утверждении концепции создания единой государственной информационной системы в сфере здравоохранения»; приказом ФОМС № 79 от 07.04.2011 «Об утверждении Общих принципов построения и функционирования информационных систем и порядка информационного взаимодействия в сфере обязательного медицинского страхования»; Регламентом информационного взаимодействия участников при расчетах за медицинскую помощь по обязательному медицинскому страхованию, оказанную застрахованным лицам на территории Ставропольского края утвержденным директором Ставропольского краевого фонда обязательного медицинского страхования 01.04.2013 и настоящим Положением.
Настоящим Положением определяется порядок получения, обработки, хранения, передачи и любого другого использования персональных данных субъектов, персональных данных учреждения (работников и пациентов), а также ведения их личных дел, медицинских карт.
Цель Положения – обеспечение в соответствии с законодательством Российской Федерации обработки, хранения и защиты персональных данных сотрудников, пациентов, а также персональных данных, содержащихся в документах, полученных из других организаций, в обращениях граждан и иных субъектов персональных данных.
Положение и изменения к нему утверждаются директором, вводятся приказом по учреждению и подлежат опубликованию на сайте ООО «Центр клинической фармакологии и фармакотерапии» (www.ckff.ru). Все сотрудники, работающие с персональными данными пациентов и персонала учреждения, должны быть ознакомлены с настоящим Положением под роспись.
В Положении используются следующие термины и определения:
Оператор персональных данных (далее оператор) – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. В рамках настоящего положения оператором является ООО «Центр клинической фармакологии и фармакотерапии».
Субъект персональных данных (далее субъект) – физическое лицо, которое прямо или косвенно определено или определяемо с помощью персональных данных. В рамках настоящего положения субъектами являются сотрудники и пациенты ООО «Центр клинической фармакологии и фармакотерапии»
Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.
Персональные данные (далее ПД) – любая информация, относящаяся прямо или косвенно к определенному или определяемому на основании такой информации физическому лицу (субъекту ПД), в том числе: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, определяемая нормативно-правовыми актами Российской Федерации в области трудовых отношений и здравоохранения, положениями и приказами ООО «Центр клинической фармакологии и фармакотерапии».
Обработка персональных данных – действия (операции) с персональными данными, включая систематизацию, накопление, хранение, комбинирование, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
Защита персональных данных – деятельность уполномоченных лиц по обеспечению с помощью локального регулирования порядка обработки персональных данных и обеспечение организационно-технических мер защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения.
Конфиденциальная информация – это информация (в документированном или электронном виде), доступ к которой ограничивается в соответствии с законодательством РФ.
Распространение персональных данных – действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.
Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передача.
Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
Настоящее положение вступает в силу с 1 января 2017 года и действует до отмены (признанием утратившим силу) другим локальным нормативным документом.
Сбор, обработка, хранение и защита персональных данных субъектов персональных данных
Обработка персональных данных субъекта может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности, количества и качества выполняемой работы, обследования, наблюдения и лечения пациентов.
При определении объема и содержания обрабатываемых персональных данных, оператор должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом РФ, Федеральным законом № 323-ФЗ от 21.11.2011 «Об основах охраны здоровья граждан в Российской Федерации» и иными федеральными законами.
Сбор и обработка персональных данных осуществляется с письменного согласия субъекта. Образцы форм заявления о согласии на обработку персональных данных и отказа от нее, приведены в Приложениях №1-3.
Учреждение осуществляет обработку персональных данных следующих категорий субъектов:
работников, состоящих в трудовых отношениях с ООО «Центр клинической фармакологии и фармакотерапии»;
пациентов ООО «Центр клинической фармакологии и фармакотерапии»;
иных физических лиц, данные о которых обрабатываются во исполнение уставных задач учреждения (при наличии).
Информация о персональных данных может содержаться:
на бумажных носителях;
на электронных носителях;
в информационно-телекоммуникационных сетях и иных информационных системах.
Оператор использует следующие способы обработки персональных данных:
автоматизированная обработка;
без использования средств автоматизации;
смешанная обработка (с применением объектов вычислительной техники).
Учреждение самостоятельно устанавливает способы обработки персональных данных в зависимости от целей такой обработки и материально-технических возможностей.
При обработке персональных данных с применением объектов вычислительной техники должностные лица, осуществляющие такую обработку (пользователи объектов вычислительной техники), должны быть ознакомлены с локальными нормативными актами учреждения, устанавливающими порядок применения объектов вычислительной техники.
Оператор не имеет права получать и обрабатывать персональные данные субъекта, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений.
В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации, оператор вправе получать и обрабатывать данные о частной жизни субъекта только с его письменного согласия. Оператор не имеет права получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами.
Учреждение обеспечивает следующие меры по защите информации, хранящейся на серверах:
ограничение сетевого доступа на сервер для определенных пользователей;
контроль технического состояния серверов и уровней защиты и восстановления информации;
проведение регулярного резервного копирования информации;
ведение аудита действий пользователей и своевременное обнаружение фактов несанкционированного доступа к информации.
Персональные данные пациентов
ООО «Центр клинической фармакологии и фармакотерапии»
Перечень персональных данных пациентов утверждается приказом директора директором ООО «Центр клинической фармакологии и фармакотерапии».
Персональные данные пациентов относятся к специальной категории персональных данных, обработка таких персональных данных должна осуществляться лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну. Так же, согласно ст. 13 Федерального закона № 323-ФЗ от 21.11.2011 г. «Об основах охраны здоровья граждан в Российской Федерации», не допускается разглашение сведений, составляющих врачебную тайну, лицам, которым они стали известны при исполнении трудовых, должностных, служебных обязанностей.
Пациент принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных даётся в письменной форме.
Обработка персональных данных пациентов без их согласия допускается при наличии оснований, указанных в пунктах 2 – 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Кроме того, предоставление сведений о факте обращения пациента за оказанием медицинской помощи, сведений о состоянии его здоровья и диагнозе, иных сведений, полученных при его медицинском обследовании и лечении (врачебная тайна), без согласия гражданина или его законного представителя допускается:
в целях проведения медицинского обследования и лечения пациента, который в результате своего состояния не способен выразить свою волю, если медицинское вмешательство необходимо по экстренным показаниям для устранения угрозы жизни человека и если его состояние не позволяет выразить свою волю или отсутствуют его законные представители.
при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля за поведением условно осужденного, осужденного, в отношении которого отбывание наказания отсрочено, и лица, освобожденного условно-досрочно;
в целях осуществления уполномоченными федеральными органами исполнительной власти контроля за исполнением лицами, признанными больными наркоманией либо потребляющими наркотические средства или психотропные вещества без назначения врача либо новые потенциально опасные психоактивные вещества, возложенной на них при назначении административного наказания судом обязанности пройти лечение от наркомании, диагностику, профилактические мероприятия и (или) медицинскую реабилитацию;
в случае оказания медицинской помощи несовершеннолетнему, не достигшему возраста, установленного частью 2 статьи 54 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ», для информирования одного из его родителей или иного законного представителя;
в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий;
в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов, кадровых служб и военно-врачебных (комиссий федеральных органов исполнительной власти, в которых предусмотрена военная и приравненная к ней служба;
в целях расследования несчастного случая на производстве и профессионального заболевания;
при обмене информацией медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства Российской Федерации;
в целях осуществления учета и контроля в системе обязательного социального страхования;
в целях осуществления контроля качества и безопасности медицинской деятельности в соответствии с Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ».
Персональные данные пациентов являются конфиденциальными сведениями, ЛПУ принимает возможные меры для их защиты. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении срока хранения.
Персональные данные субъекта учреждение, в лице сотрудника, получает непосредственно от пациента. Оператор вправе получать персональные данные субъекта от третьих лиц только при наличии письменного согласия пациента.
Для получения медицинской помощи, при обращении в ЛПУ, пациент обязан предоставить следующие документы, содержащие персональные данные о себе:
паспорт или иной документ, удостоверяющий личность (для лиц старше 14 лет);
свидетельство о рождении (для лиц, не достигших 14 лет), и паспорт или иной документ законного представителя;
страховой медицинский полис обязательного (добровольного) медицинского страхования (при оказании медицинских услуг или медицинской помощи в рамках обязательного или добровольного медицинского страхования);
страховой номер индивидуального лицевого счета застрахованного лица (СНИЛС);
подписанное согласие на обработку персональных данных;
подписанное добровольное Согласие на медицинское вмешательство.
В отдельных случаях, с учетом специфики обследования, в учреждении может предусматриваться необходимость предъявления дополнительных документов. Пациент предоставляет требуемые сведения и в случае необходимости предъявляет документы, подтверждающие достоверность этих сведений.
Хранение персональных данных пациентов осуществляется на бумажных и электронных носителях.
Сведения о состоянии здоровья оформляются в виде первичной медицинской документации и вносятся в информационную систему учреждения.
Медицинская документация хранится:
в регистратуре учреждения (медицинские карты амбулаторных больных, талоны амбулаторного пациента, журналы вызовов на дом, журнал регистрации договоров на оказание платных медицинских услуг, договора на оказание платных медуслуг, медицинские заключения и результаты исследований);
в бухгалтерии (договора на оказание платных медуслуг, журнал регистрации договоров на оказание платных медицинских услуг, направления на медицинские исследования по ОМС и ДМС);
в кабинете выдачи больничных листков (журналы учета, бланки);
в кабинетах функциональной диагностики, кабинетах лаборатории, диагностических кабинетах, процедурных кабинетах (журналы учета, направления на исследования, результаты лабораторных исследований).
Согласие пациента на обработку его персональных данных должно храниться вместе с его первичной медицинской документацией.
Ведение медицинской документация и персональных данных в электронном виде пациентов возложено на сотрудников ЛПУ. Допуск к медицинской документации имеют только медицинский персонал учреждения.
В целях обеспечения защиты персональных данных, субъекты имеют право:
по письменному заявлению получать полную информацию о своих персональных данных и обработке этих данных (в том числе автоматизированной);
получать копии любой записи;
обжаловать в суд любые неправомерные действия или бездействие учреждения при обработке и защите его персональных данных.
В обязанности сотрудников учреждения входит:
ведение медицинской документации (в том числе автоматизированной);
обеспечение сохранности медицинской документации;
обеспечение конфиденциальности сведений, содержащихся в медицинской документации, в соответствии с законодательством Российской Федерации;
ведение журнала учета обращений субъектов о выполнении требований по обработке их персональных данных;
по запросу пациента предоставлять в письменной форме сведения о том, какие персональные данные обрабатываются, хранятся и используются.
Сотрудники учреждения, уполномоченные на ведение, хранение и использование персональных данных, могут привлекаться в соответствии с законодательством Российской Федерации к дисциплинарной и иной ответственности за разглашение конфиденциальных сведений, а так же за иные нарушения порядка ведения медицинской документации, установленного нормативно-правовыми актами РФ и настоящим Положением.
Медицинские карты амбулаторных больных хранятся в ЛПУ в течение двадцати пяти лет.
Хранение персональных данных пациентов должно осуществляться в форме, позволяющей их идентифицировать.
Сотрудники ООО «Центр клинической фармакологии и фармакотерапии», имеющие доступ к персональным данным, обязаны принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, модифицирования, блокирования, копирования, распространения, а также от иных неправомерных действий в отношении данной информации.
Передача персональных данных субъектов персональных данных
При передаче персональных данных третьим лицам оператор должен соблюдать следующие требования:
не сообщать персональные данные субъектов третьей стороне без письменного согласия, за исключением случаев, когда это предусмотрено Федеральным законодательством РФ;
разрешать доступ к персональным данным только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций.
Согласие пациента на передачу персональных данных не требуется, если законодательством РФ установлена обязанность предоставления оператором персональных данных.
Передача персональных данных пациента сотрудникам оператора для выполнения должностных обязанностей должна осуществлять только в объёме, необходимом для выполнения их работы.
При хранении материальных носителей с персональными данными соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.
Персональные данные вне ООО «Центр клинической фармакологии и фармакотерапии» могут представляться в государственные и негосударственные функциональные структуры:
правоохранительные органы по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органов прокуратуры в связи с осуществлением ими прокурорского надзора, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля за поведением условно осужденного, осужденного, в отношении которого отбывание наказания отсрочено, и лица, освобожденного условно-досрочно;
органы статистики;
страховые медицинские организации;
органы социального страхования;
управление Росздравнадзора;
банк (выполнение финансовых обязательств работодателя);
фонд обязательного медицинского страхования;
другие лечебно-профилактические учреждения.
Другие учреждения в соответствии с нпа РФ
Персональные данные могут быть предоставлены его законному представителю, а также родственникам или членам его семьи, иным представителям только с письменного разрешения самого пациента либо его законного представителя.
Обязанности субъекта и оператора персональных данных
В целях обеспечения достоверности персональных данных субъект обязан:
При приеме на работу (сотрудник) или при записи к врачу (пациент) предоставить оператору полные достоверные данные о себе.
В случае изменения сведений, составляющих персональные данные, работник должен предоставить данную информацию в отдел кадров учреждения в течении 14 дней.
Оператор обязан:
Осуществлять защиту персональных данных субъектов.
Обеспечить хранение первичной учетной документации сотрудников по учету труда и его оплаты, к которой в частности, относятся документы по учету кадров, документы по учету использования рабочего времени и расчетов с работниками по оплате труда, медицинская документация и др.
Обеспечить хранение первичной учетной документации пациентов медицинские карты, талоны амбулаторного больного, направление на исследования, результаты исследований, согласие на обработку персональных данных, добровольное информированное согласие на медицинское вмешательство, договоры оказания платных медицинских услуг.
Заполнение документации, содержащей персональные данные, осуществлять в соответствии с унифицированными формами первичной учетной документации.
По письменному заявлению субъекта не позднее трех рабочих дней со дня подачи этого заявления выдать копии документов, связанных с работой и учебой (копии приказа о приеме на работу, приказов о переводах, приказа об увольнении с работы); выписки из трудовой книжки; справки о заработной плате, о начисленных и фактически уплаченных страховых взносах на обязательное пенсионное страхование, о периоде работы у данного оператора и другие. Копии документов, связанных с работой или учебой, должны быть заверены надлежащим образом и предоставляться субъекту безвозмездно.
Особенности обработки персональных данных пациентов, осуществляемой без использования средств автоматизации
Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
Сотрудники, осуществляющие обработку персональных данных пациентов без использования средств автоматизации должны быть проинформированы о факте обработки ими персональных данных пациентов, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных законодательством РФ.
Персональные данные пациентов при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
При фиксации персональных данных пациентов на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы.
Обработка персональных данных пациентов, осуществляемая без использования средств автоматизации, осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее – типовая форма), должны соблюдаться следующие условия:
а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.