Положение об обработке и защите персональных данных пациентов в ООО «Медицинские клиники»

1. ОБЩИЕ ПОЛОЖЕНИЯ

Настоящее Положение разработано в соответствии с:

• Конституцией Российской Федерации;
• Федеральным законом от 27.07.2006 №149-ФЗ «Об информации, информационных

технологиях и о защите информации»;

• Федеральным законом от 27.07.2006 №152-ФЗ «О персональных данных»;
• Федеральным законом от 29.07.2004 №98-ФЗ «О коммерческой тайне»;
• Федеральным законом от 22.10.2004 №125-ФЗ «Об архивном деле в Российской Федерации»;
• Федеральным законом от 21.11.2011 №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
• Указом Президента РФ от 06.03.1997 №188 «Об утверждении Перечня сведений конфиденциального характера»;
• Постановлением Правительства Российской Федерации от 30.07. 2018 №772 «Об определении состава сведений, размещаемых в единой информационной системе персональных данных, обеспечивающей обработку, включая сбор и хранение, биометрических персональных данных, их проверку и передачу информации о степени их соответствия представленным биометрическим персональным данным гражданина Российской Федерации, включая вид биометрических персональных данных»;
• Постановлением Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Постановлением Правительства Российской Федерации от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• приказом МЗ РФ от 24.12.2018 №911н « Об утверждении Требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций»;
• другими нормативными актами, действующими на территории Российской Федерации.

Настоящее Положение устанавливает:

• порядок получения, учета, обработки, накопления, хранения, передачи и использования персональных данных пациентов в ООО «Медицинские клиники»,
• цели обработки персональных данных,
• права и обязанности оператора,
• права и обязанности пациента,
• перечень лиц, имеющих доступ к персональным данным, ответственность за нарушение законодательства Российской Федерации о защите персональных данных.

1. ЦЕЛИ

П.1.Защита персональных данных пациентов от несанкционированного доступа и разглашения;

П.2.Определение порядка обработки персональных данных пациентов;

• Обеспечение защиты прав и свобод пациентов при обработке персональных данных;
• Установление ответственности должностных лиц, имеющих доступ к персональным данным пациентов, за невыполнение требований норм, регулирующих обработку и их защиту.

Персональные данные пациентов являются конфиденциальной, строго охраняемой информацией. Конфиденциальность, сохранность и защита персональных данных обеспечиваются отнесением их к сфере негосударственной (служебной, профессиональной) тайны.

• ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ, ИСПОЛЬЗУЕМЫЕ В НАСТОЯЩЕМ ПОЛОЖЕНИИ

Основные понятия и термины, используемые в Положении, применяются в том же значении, что и в Федеральном законе от 27.07.2006 №152-ФЗ «О персональных данных» и в Федеральном законе от 21.11.2011 №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».

Пациент — физическое лицо, которому оказывается медицинская помощь или который обратился за оказанием медицинской помощи независимо от наличия у него заболевания и от его состояния.

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), далее — ПДн.

Под персональными данными пациентов (субъектов персональных данных) — понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе: фамилия, имя, отчество, пол, год, месяц, дата и место рождения, адрес места жительства, контактные телефоны, паспортные данные, данные о состоянии здоровья, заболеваниях, случаях обращения за медицинской помощью.

Данные сведения являются конфиденциальными. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении срока хранения, если иное не определено законом.

Оператор — юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

В Настоящем Положении Оператор — ООО «Медицинские клиники».

Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Обработка персональных данных Пациентов осуществляется в медико-профилактических целях, в целях установления медицинского диагноза и оказания медицинских услуг, в целях обеспечения соблюдения Конституции Российской Федерации.

Конфиденциальная информация — информация (в документированном или электронном виде), доступ к которой ограничивается в соответствии с законодательством РФ.

Сотрудники Клиники, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Использование персональных данных — действия (операции) с персональными данными, совершаемые ООО «Медицинские клиники», в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных (Пациента) или других лиц либо иным образом затрагивающих права и свободы Пациента или других лиц.

Блокирование персональных данных — временное прекращение обработки персональных данных Пациентов (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных — действия, в результате которых становится невозможно восстановить содержание персональных данных в информационной системе персональных данных Пациентов и (или) в результате которых уничтожаются материальные носители персональных данных.

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту (Пациенту).

Защита персональных данных работника — деятельность по обеспечению с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер конфиденциальности информации о конкретном пациенте, полученной оператором в связи с лечением пациента.

Информационная система персональных данных — система, представляющая совокупность содержащихся в базах данных ПДн, и обеспечивающих их обработку информационных технологий и технических средств.

Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Обеспечения конфиденциальности персональных данных не требуется:

• в случае обезличивания персональных данных;
• в отношении общедоступных персональных данных.

1. ОБЩИЕ ПРИНЦИПЫ И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕНТОВ
2. 1 Обработка персональных данных пациента осуществляется на основе принципов:

а)   законности целей и способов обработки персональных данных и добросовестности;

б)   соответствия целей обработки персональных данных целям, заранее определенным и заявленным при сборе персональных данных, а также полномочиям Оператора;

в)   соответствия объема и характера обрабатываемых персональных данных, способов обработки персональных данных целям обработки персональных данных;

г)    достоверности персональных данных, их достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;

д)   недопустимости объединения созданных для несовместимых между собой целей баз данных информационных систем персональных данных.

IV.2 В целях обеспечения прав и свобод человека и гражданина Оператор и его представители при обработке персональных данных пациента обязаны соблюдать следующие общие требования:

а)   обработка персональных данных пациента может осуществляться исключительно в целях обеспечения соблюдения законов, иных нормативных правовых актов и реализации, конституционных прав гражданина на охрану здоровья, получение медицинской услуги;

б)   все персональные данные пациента следует получать у него самого или его полномочного представителя;

в)   при определении объема и содержания, обрабатываемых персональных данных пациента, Оператор должен руководствоваться Конституцией Российской Федерации, Федеральным законом №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», законодательством РФ в сфере защиты персональных данных и обработки информации, и иными Федеральными законами и локальными нормативными актами в области защиты персональных данных;

г)   оператор не имеет права получать и обрабатывать персональные данные пациента о его политических, религиозных и иных убеждениях и частной жизни;

д)   защита персональных данных пациента от неправомерного их использования или утраты должна быть обеспечена Оператором за счет его средств в порядке, установленном федеральным законом и другими нормативными документами;

е)    пациенты или их представители должны быть ознакомлены с документами Учреждения, устанавливающими порядок обработки персональных данных пациентов, а также об их правах и обязанностях в этой области и дать получение их письменного согласия на обработку персональных данных.

1. 3 Оператор при обработке персональных данных принимает необходимые организационные и технические меры, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, а также от иных неправомерных действий.
2. 4 Персональные данные пациента относятся к конфиденциальной информации, то есть порядок работы с ними регламентирован действующим законодательством РФ и осуществляется соблюдением строго определенных правил и условий.
3. ПОЛУЧЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕНТОВ

Получение персональных данных осуществляется путем представления их пациентом либо его законного представителя, на основании его письменного согласия, за исключением случаев прямо предусмотренных действующим законодательством Российской Федерации.

В соответствии с требованиями Федерального закона от 27.07.06 №152-ФЗ «О персональных данных», пациент подтверждает свое согласие на обработку ООО «Медицинские клиники», юридический адрес: г. Ставрополь, ул Мира д.248, персональных данных. Персональные данные включают: фамилию; имя; отчество; пол; дату рождения; адрес места жительства; контактный (е) телефон (ы); данные о состоянии здоровья и заболеваниях; случаях обращения за медицинской помощью, (в медико-профилактических целях), в целях установления медицинского диагноза и оказания медицинских услуг при условии сохранения врачебной тайны.

Всю информацию о персональных данных Пациент предоставляет самостоятельно.

Письменное согласие пациента на обработку своих персональных данных включает в себя:

• фамилию, имя, отчество, адрес пациента — субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• наименование (фамилию, имя, отчество) и адрес Оператора, получающего согласие пациента — субъекта персональных данных;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
• перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Оператором.
• способов обработки персональных данных;
• срок, в течение которого действует согласие, а также порядок его отзыва.

Дополнительное согласие на обработку персональных данных, содержащихся в согласии в письменной форме пациента на обработку его персональных данных, не требуется.

В случае недееспособности пациента или не достижения пациентом возраста 15 лет согласие на обработку его персональных данных дает в письменной форме его законный представитель по нотариальной доверенности.

В случае необходимости проверки персональных данных пациента Оператор должен заблаговременно сообщить пациенту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа пациента дать письменное согласие на их получение.

Пациент или его законный представитель обязаны предоставить Оператору полные и достоверные данные. В случае изменения сведений, составляющих персональные данные пациент или его законный представитель (при наличии нотариальной доверенности) обязаны предоставить данную информацию Оператору в срок не позднее 10 календарных дней с момента изменения.

Оператор обязан проверять достоверность сведений, предоставленных пациентом, сверяя данные, предоставленные пациентом или его законным представителем, с имеющимися у пациента документами.

При обращении в ООО «Медицинские клиники», пациент должен иметь при себе паспорт или иной документ, удостоверяющий личность пациента или законного представителя, данные из Госуслуг.

После оформления пациента в регистратуре к документам, содержащим персональные данные пациента, также будет относиться медицинская карта пациента, получающего медицинскую помощь в амбулаторных условиях.

В случае отказа пациента или его законного представителя предоставить паспорт или иной документ, удостоверяющий личность, администратор в известность ставит директора. В данном случае медицинская помощь реализуется в соответствии с правом пациента на анонимное оказание медицинских услуг и как следствие — заключение договора с ООО «Медицинские клиники», возмездного анонимное оказания медицинских услуг. Директор или уполномоченное лицо (заместитель директора по развитию, старший администратор) оформляется акт об отказе от подписи согласия на обработку персональных данных пациентом, Приложение №6 к настоящему приказу.

В случае отказа Пациента предоставить персональные данные или их неполного предоставления ООО «Медицинские клиники», не вправе, при необходимости, направить на обследование, выписать направления на анализы и т.д.

1. ПОРЯДОК ХРАНЕНИЯ И ИСПОЛЬЗОВАНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕНТОВ

Информация о персональных данных пациента обрабатывается с соблюдением требований российского законодательства о защите персональных данных.

Доступ к персональным данным пациентов имеют работники Оператора, допущенные к работе с персональными данными. В должностные инструкции данных работников включается пункт об обязанности сохранения врачебной тайны.

Право доступа к персональным данным Пациента имеют лица в должностные обязанности, которых входит обязанность сохранение врачебной и профессиональной тайны, а именно:

• директор;
• заместитель директора по лечебной части / главный врач;
• заместитель директора по развитию
• врачи клиники;
• медицинские сестры клиники;
• администраторы;
• работник, непосредственно осуществляющий обработку информации пациента
• иные работники, согласно бизнес-процессу клиники .

Сведения о факте обращения гражданина за оказанием медицинской помощи, состояние его здоровья и диагнозе, иные сведения составляют врачебную тайну.

Предоставление сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя допускается:

• по запросу органов дознания и следствия и суда в связи с проведением расследования или судебным разбирательством, по запросу органов прокуратуры в связи с осуществлением ими прокурорского надзора;
• при наличие оснований, позволяющих полагать, что вред здоровью гражданина причинен в результате противоправных действий.

Лица, которым в установленном законом порядке переданы сведения, составляющие врачебную тайну, наравне с медицинскими и фармацевтическими работниками с учетом причиненного гражданину ущерба несут за разглашение врачебной тайны дисциплинарную, административную или уголовную ответственность в соответствии с законодательством Российской Федерации, законодательством субъектов Российской Федерации.

Обработка персональных данных пациентов осуществляется смешанным путем.

Персональные данные пациентов преимущественно хранятся на бумажных носителях. Основным документом, содержащим персональные данные пациента, является медицинская карта пациента, получающего медицинскую помощь в амбулаторных условиях.

Журналы и другие формы медицинской документации, содержащие персональные данные пациентов, оформляются и хранятся у Оператора в соответствии с требованиями действующих приказов. Прочие документы, используемые при оказание медицинской помощи или услуги и содержащие персональные данные пациентов (направления, договоры и пр.), после оформления передаются работнику, допущенному к работе с персональными данными, в должностные обязанности которого входит обработка этих данных.

Хранение оконченных производством документов, содержащих персональные данные пациентов, осуществляется в архиве Оператора. Регламент работы с медицинской документацией утверждается приказом директора. Персональные данные пациентов также хранятся в электронном виде на сервере баз данных ООО «Медицинские клиники».

Доступ к электронным базам данных ограничен паролем. Возможна передача персональных данных пациентов по внутренней сети Учреждения с использованием технических и программных средств защиты информации, с доступом только для работников Оператора в соответствии с разделом 6 настоящего приказа. Информация передается только в объеме, необходимом для выполнения данным работникам своих должностных обязанностей.

Хранение персональных данных пациентов осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

Хранение документов, содержащих персональные данные пациентов, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. По истечении установленных сроков хранения документы подлежат уничтожению в порядке, предусмотренном приказами по архивному делу.

Срок хранения персональных данных соответствуют срокам хранения медицинской документации, срок хранения амбулаторной карты двадцать пять лет.

При обработке персональных данных пациента оператор должен соблюдать следующие требования:

• не сообщать персональные данные пациента в коммерческих целях без его личного письменного согласия, согласия законного представителя;
• предупреждать лиц, получающих персональные данные пациента, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
• разрешать доступ к персональным данным пациентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные пациента, которые необходимы для выполнения конкретных функций;
• передавать персональные данные пациента представителям пациентов в порядке, установленном настоящим Положением, и ограничивать эту информацию только теми персональными данными пациента, которые необходимы для выполнения указанными представителями их функций.

Все сведения о передаче и выдаче персональных данных должны регистрируются в Журнале учета обращений и запросов субъектов персональных, данных в целях контроля правомерности использования данной информации лицами, ее получившими. В журнале фиксируются сведения о лице, направляющем запрос, дате передачи персональных данных или дате уведомления об отказе в их предоставлении, а также отмечается какая именно информация была передана.

Персональные данные Пациента могут быть предоставлены только его законному представителю с письменного разрешения самого Пациента.

Персональные данные пациентов на бумажных носителях хранятся в регистратуре, в случае если амбулаторная карта не была востребована в течение пяти лет с последующей передачей на дальнейшее хранение в архиве оператора.

Сотрудник оператора, имеющий доступ к персональным данным пациентов в связи с исполнением трудовых обязанностей обеспечивает хранение информации, содержащей персональные данные пациентов, исключающее доступ к ним третьих лиц.

При сборе персональных данных Оператор обязан предоставить субъекту персональных данных по его просьбе следующую информацию:

• подтверждение факта обработки персональных данных оператором, а также цель данной обработки;
• способы обработки персональных данных, применяемые оператором;
• сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
• перечень обрабатываемых персональных данных и источник их получения;
• сроки обработки персональных данных, в т ч. сроки их хранения;
• сведения о том, какие юридические последствия для субъекта может повлечь за собой обработка его персональных данных;
• разъяснения последствий его отказа в предоставлении своих персональных данных в случае, если это установлено в качестве обязанности субъекта федеральным законом.
• ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕНТА

Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

• обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
• соблюдение конфиденциальности информации ограниченного доступа,
• реализацию права на доступ к информации.

Для обеспечения безопасности персональных данных пациента при неавтоматизированной обработке предпринимаются следующие меры:

• Все действия по обработке персональных данных пациентов и сотрудников осуществляются только работниками Оператора, допущенными приказом директора к работе с персональными данными пациента, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.
• Обработка персональных данных осуществляется с соблюдением порядка, предусмотренного Постановлением Правительства от 15.09.2008 №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Для обеспечения безопасности персональных данных пациентов при автоматизированной обработке предпринимаются следующие меры:

• Персональные компьютеры, с которых осуществляется доступ к персональным данным, защищены паролями доступа. Пароли сообщаются индивидуально работнику, допущенному к работе с персональными данными и осуществляющему обработку персональных данных пациентов на данном ПК.
• Иные меры, предусмотренные Положением об организации работ по обеспечению проведению безопасности ПДн при их обработке в ИСПДн.
• Обработка персональных данных осуществляется с соблюдением порядка, предусмотренного Постановлением Правительства от 01.11. 2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

При обработке персональных данных пациента оператор должен соблюдать следующие требования:

• не сообщать персональные данные пациента в коммерческих целях без его личного письменного согласия, согласия законного представителя;
• предупреждать лиц, получающих персональные данные пациента, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
• разрешать доступ к персональным данным пациентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные пациента, которые необходимы для выполнения конкретных функций;
• передавать персональные данные пациента представителям пациентов в порядке, установленном настоящим Положением, и ограничивать эту информацию только теми персональными данными пациента, которые необходимы для выполнения указанными представителями их функций.

Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и путем применения технических средств.

Все операции по обработке, ведению и хранению персональных данных Пациента выполняются лицами, обязанными сохранять врачебную и профессиональную тайну в соответствии со своими служебными обязанностями, зафиксированными в их должностных инструкциях.

При увольнении сотрудника, имеющего доступ к персональным данным пациентов, документы и иные носители, содержащие персональные данные пациентов, передаются другому сотруднику, имеющему доступ к персональным данным пациентов, по указанию руководителя.

• ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕНТОВ ТРЕТЬИМ ЛИЦАМ

Передача персональных данных пациентов третьим лицам осуществляется Оператором только с письменного согласия пациента, с подтверждающей визой директора, за исключением случаев, предусмотренных ст. 13 Федерального закона № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»:

• по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органов прокуратуры в связи с осуществлением ими прокурорского надзора;
• в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий.

Лица, которым в установленном законом порядке переданы сведения, составляющие врачебную тайну, наравне с медицинскими и фармацевтическими работниками несут ответственность за разглашение врачебной тайны дисциплинарную, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.

Оператор обеспечивает ведение журнала учета выданных персональных данных пациентов, в котором регистрируются поступившие запросы, фиксируются сведения о лице, направившем запрос, дата передачи персональных данных, а также отмечается, какая именно информация была передана.

В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом на получение персональных данных пациента, либо отсутствует письменное согласие пациента на предоставление его персональных данных, Оператор обязано отказать в предоставлении персональных данных. В данном случае лицу, обратившемуся с запросом, выдается в мотивированный отказ в предоставлении персональных данных в письменной форме, копия отказа хранится у Оператора. Передача указанных сведений и документов осуществляется с согласия пациента. Согласие пациента оформляется письменно в виде отдельного документа. После получения согласия пациента дальнейшая передача указанных сведений и документов, данных лицам дополнительного письменного согласия не требует.

Если лицо, обратившееся с запросом о персональных данных пациента не уполномочено федеральным законом на получение персональных данных пациента, оператор отказывает в предоставлении персональных данных лицу. Лицу, обратившемуся с запросом, выдается письменное уведомление об отказе в предоставлении персональных данных.

1. ОБЩЕДОСТУПНЫЕ ИСТОЧНИКИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕНТОВ

Включение персональных данных пациента в общедоступные источники персональных данных (в том числе справочники, медицинскую литературу и др.) возможно только при наличии его письменного согласия.

При обезличивании персональных данных согласие пациента на включение персональных данных в общедоступные источники персональных данных не требуется.

1. ПРАВА И ОБЯЗАННОСТИ ПАЦИЕНТА В ОБЛАСТИ ЗАЩИТЫ ЕГО ПЕРСОНАЛЬНЫХ ДАННЫХ

В целях обеспечения защиты персональных данных, хранящихся у Оператора, пациенты имеют право на:

• полную информацию об их персональных данных и обработке этих данных;
• свободный бесплатный доступ к своим персональным данным, за исключением случаев, предусмотренных федеральным законом;
• определение своих представителей для защиты своих персональных данных;
• требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Положения;
• обжалование в суд любых неправомерных действий или бездействия Оператора при обработке и защите его персональных данных;
• иные права, предусмотренные действующим законодательством.

Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя.

Оператор обязан сообщить пациенту или его законному представителю информацию о наличии персональных данных, относящихся к пациенту, а также предоставить возможность ознакомления с ними пациента или его законного представителя при обращении либо в течение десяти рабочих дней с даты получения запроса пациента или его законного представителя.

В случае отказа в предоставлении пациенту или его законному представителю информации о наличии персональных данных Оператор обязан дать в письменной форме мотивированный ответ в срок, не превышающий десяти рабочих дней со дня обращения/ получения запроса пациента или его законного представителя.

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

• подтверждение факта обработки персональных данных оператором;
• правовые основания и цели обработки персональных данных;
• цели и применяемые оператором способы обработки персональных данных;
• наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

 

✓ сроки обработки персональных данных, в том числе сроки их хранения.

Пациент имеет право отозвать свое согласие посредством составления соответствующего письменного документа.

Оператор обязан разъяснить субъекту персональных данных юридические последствия отказа предоставить свои персональные данные, предоставив форму разъяснения субъекту персональных данных юридических последствий отказа предоставить свои персональные данные. При получении письменного заявления об отзыве согласия на обработку персональных данных Оператор прекращает их обработку после завершения взаиморасчетов с пациентом по оплате оказанной медицинской помощи.

В случае отзыва Пациентом согласия на обработку своих персональных данных Оператор обязан прекратить обработку персональных данных по истечении периода времени, необходимого для завершения взаиморасчетов по оплате оказанной Пациенту до этого медицинской помощи.

В случае отзыва субъектом персональных данных согласия на обработку персональных данных Оператор при необходимости вправе продолжить обработку персональных данных без согласия субъекта персональных данных (ст.9 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных»).

Оператор согласно запроса от субъекта обязан предоставить информацию, касающейся обработки его персональных данных и сообщать Пациенту о последствиях отказа дать согласие на получение его персональных данных.

Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и предоставленных полномочий Оператор дает в письменной форме с исходящим номером на бланке Учреждения и в том объеме, который позволяет не разглашать излишний объем персональных сведений о Пациентах.

Пациенты и их представители, по желанию, могут ознакомиться с документами Оператора, устанавливающими порядок обработки персональных данных пациентов, а также осведомлены об их правах в этой области. Оператором выработаны меры защиты персональных данных пациентов. Все службы оператора обеспечивают защиту персональных данных пациентов от несанкционированного доступа и копирования.

Для своевременной и полной реализации своих прав на охрану здоровья пациент обязан предоставить Оператору достоверные персональные данные в объеме, необходимом Оператору для оказания ему качественной медицинской помощи.

XI . ПРАВО НА ОБЖАЛОВАНИЕ ДЕЙСТВИЯ ИЛИ БЕЗДЕЙСТВИЯ ОПЕРАТОРА

Если пациент считает, что Оператор осуществляет обработку его персональных данных с нарушением требований Федерального закона №152-ФЗ или иным образом нарушает его права и свободы, пациент вправе обжаловать действия или бездействие Оператора в уполномоченный орган по защите прав субъектов персональных данных (федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи) или в судебном порядке.

Пациент имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

• ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕНТОВ

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

• ПОРЯДОК УНИЧТОЖЕНИЯ ОБРАБОТАННЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ДОСТИЖЕНИИ ЦЕЛЕЙ ОБРАБОТКИ ИЛИ ПРИ НАСТУПЛЕНИИ ИНЫХ ЗАКОННЫХ ОСНОВАНИЙ

Под уничтожением персональных данных понимаются действия, в результате которых невозможно восстановить содержание персональных данных, или в результате которых уничтожаются материальные носители персональных данных.

Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижению целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.

Уничтожение обработанных персональных данных производится комиссионно, с составлением соответствующего акта. В комиссию назначаются допущенные к работе с персональными актами сотрудники, имеющие непосредственное отношение к уничтоженным материалам.

• ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

Настоящее Положение вступает в силу с даты его утверждения. При необходимости приведения настоящего Положения в соответствие с вновь принятыми законодательными актами, изменения вносятся на основании приказа директора.

Настоящее Положение распространяется на всех пациентов, обращающихся за медицинской помощью в ООО «Медицинские клиники, а также сотрудников, имеющих доступ и осуществляющих перечень действий с персональными данными пациентов.

В обязанности работников осуществляющих первичный сбор персональных данных пациента входит их информирование о возможности ознакомление с настоящим положением, и обязательное получение согласия пациента на обработку его персональных данных.