по ГБУЗ СТ «Ірбітський ЦМЛ»
щодо обробки та захисту персональних даних
пацієнтів і працівників державної бюджетної установи охорони здоров'я Свердловської області «Ірбітський центральна міська лікарня»
1. Ця Політика визначає принципи, порядок та умови обробки персональних даних пацієнтів і працівників Установи-оператора, чиї персональні дані обробляються, з метою забезпечення захисту прав і свобод людини і громадянина при обробці його персональних даних, в тому числі захисту прав на недоторканність приватного життя , особисту і сімейну таємницю, а також встановлює відповідальність посадових осіб Оператора, що мають доступ до персональних даних, за невиконання норм, що регулюють обробку і захист персональних даних д .
2. Персональні дані є конфіденційною, строго охороняється інформацією, і на них поширюються всі вимоги, встановлені внутрішніми документами Оператора, до захисту конфіденційної інформації.
3. Підставою для розробки даного локального нормативного акта є:
- глава 14 (ст. 86-90) Трудового кодексу РФ;
- частина 1 і 2, частина 4 Цивільного кодексу РФ;
- Регламентуючі документи ФСТЕК Росії і ФСБ Росії про забезпечення безпеки персональних даних:
Загальні принципи і умови обробки персональних даних
пацієнтів і працівників ГБУЗ СТ «Ірбітський ЦМЛ»
1. Обробка персональних даних пацієнтів і працівників здійснюється на основі принципів:
1) Обробка персональних даних повинна здійснюватися на законною і справедливою основі, повинна обмежуватися досягненням конкретних, заздалегідь визначених і законних цілей. Не допускається обробка персональних даних, несумісна з цілями збору персональних даних.
2) Допускається об'єднання баз даних, що містять персональні дані, обробка яких здійснюється з метою, несумісних між собою.
3) Обробці підлягають тільки персональні дані, які відповідають цілям їх обробки.
5) При обробці персональних даних повинні бути забезпечені точність персональних даних, їх достатність, а в необхідних випадках і актуальність по відношенню до цілей обробки персональних даних. Установа-оператор має вживати необхідних заходів або забезпечувати їх прийняття з видалення або уточнення неповних або неточних даних.
6) Зберігання персональних даних має здійснюватися у формі, що дозволяє визначити суб'єкта персональних даних не довше, ніж цього вимагають цілі обробки персональних даних, якщо термін зберігання персональних даних не встановлено Федеральним законом № 152-ФЗ. Оброблювані персональні дані підлягають знищенню або знеособлення після досягнення цілей обробки або в разі втрати необхідності в досягненні цих цілей, якщо інше не передбачено Федеральним законодавством.
2. З метою забезпечення прав і свобод людини і громадянина, Установа-оператор при обробці персональних даних пацієнта або працівника зобов'язані дотримуватися такі загальні вимоги:
1) Обробка персональних даних пацієнта може здійснюватися виключно в медичних цілях, з метою встановлення діагнозу, надання медичних послуг, оформлення договірних відносин з пацієнтом, за умови, що обробка персональних даних здійснюється особою, що професійно займаються медичною діяльністю і зобов'язаним зберігати лікарську таємницю відповідно до законодавством Російської Федерації в області персональних даних.
2) Обробка персональних даних працівників може здійснюватися виключно в цілях забезпечення дотримання законодавства Російської Федерації в області персональних даних та інших нормативних правових актів з урахуванням положень Федерального закону № 152-ФЗ «Про персональних даних», оформлення трудових відносин, розрахунку та видачі заробітної плати або інших доходів, податкових та пенсійних відрахувань, сприяння працівникам у працевлаштуванні, навчанні, підвищенні кваліфікації та просуванні по службі, забезпечення особистої безпеки р цівників, контролю кількості та якості виконуваної роботи, забезпечення збереження майна роботодавця відповідно до законодавства Російської Федерації в області персональних даних.
3) Всі персональні дані пацієнта слід отримувати у нього самого або у його законного представника.
Всі персональні дані працівника роботодавець повинен отримувати у нього самого.
Якщо персональні дані пацієнта або працівника, можливо, отримати тільки в третьої сторони, то пацієнт або працівник повинен бути повідомлений про це заздалегідь і від нього має бути отримана письмова згода.
4) Забороняється прийняття на підставі виключно автоматизованої обробки персональних даних рішень, що породжують юридичні наслідки по відношенню до пацієнта і працівника або іншим чином зачіпають його права і законні інтереси, за винятком випадків, передбачених Федеральним законом № 152-ФЗ.
5) Установа-оператор зобов'язаний розглянути заперечення протягом тридцяти днів з дня його отримання і повідомити пацієнта і працівника про результати розгляду такого заперечення.
6) Захист персональних даних пацієнтів і працівників від неправомірного їх використання або втрати повинна бути забезпечена Установою - оператором в порядку, встановленому Федеральним законодавством і іншими нормативними документами.
7) Працівники повинні бути ознайомлені під особистий підпис з документами Установи - оператора, що встановлюють порядок обробки персональних даних працівників, а також про їхні права та обов'язки в цій області.
Отримання персональних даних пацієнта і працівника
1. Отримання персональних даних переважно здійснюється шляхом подання їх самим пацієнтом (законним представником пацієнта) або працівником, на підставі його письмової згоди, за винятком випадків, прямо передбачених чинним законодавством РФ.
У випадках, передбачених Федеральним законодавством, обробка персональних даних здійснюється лише за згодою пацієнта (його законного представника) та працівника в письмовій формі. Рівнозначним містить власноручний підпис пацієнта і працівника згодою в письмовій формі на паперовому носії визнається згода у формі електронного документа, підписаного відповідно до Федерального закону № 152-ФЗ електронним підписом.
2. Під персональними даними працівників, пов'язаних з реалізацією трудових відносин, розуміється:
• сімейний стан;
• інші паспортні дані;
• персональні дані, що містяться в письмовій заяві про прийняття на роботу;
• копії паспорта та свідоцтва про державну реєстрацію актів цивільного стану;
• копії трудової книжки;
• копії документів про професійну освіту, професійну
перепідготовку, підвищення кваліфікації, стажування, присвоєння наукового ступеня, вченого звання (якщо такі є);
• копії страхового свідоцтва обов'язкового пенсійного страхування;
• копії свідоцтва про взяття на облік в податковому органі фізичної особи за місцем проживання на території Російської Федерації;
• копії страхового медичного полісу обов'язкового медичного страхування громадян;
• медичний висновок встановленої форми про відсутність у громадянина захворювання, що перешкоджає надходженню на цивільну службу або її проходженню;
3. Під персональними даними пацієнтів розуміється будь-яка інформація, що стосується прямо або побічно певного або визначається фізичній особі, в тому числі:
• прізвище ім'я по батькові,
• рік, місяць, дата і місце народження,
• реквізити поліса ОМС (ДМС),
• паспортні данні,
• дані про стан здоров'я, захворюваннях,
• випадки звернення за медичною допомогою,
• дані про склад сім'ї,
• інші відомості, які можуть ідентифікувати особу.
Надання відомостей, що становлять лікарську таємницю, без згоди громадянина або його законного представника допускається (ч. 4 ст. 13 ФЗ № 323-ФЗ):
- якщо пацієнт в результаті свого стану не здатний висловити свою волю, але йому необхідно лікування;
- при загрозі поширення інфекційних захворювань, масових отруєнь і поразок;
-на запит органів дізнання і слідства, суду в зв'язку з проведенням розслідування або судовим розглядом, на запит органів прокуратури в зв'язку із здійсненням ними прокурорського нагляду, на запит органу кримінально-виконавчої системи у зв'язку з виконанням кримінального покарання і здійсненням контролю за поведінкою умовно
засудженого, засудженого, щодо якого відбування покарання відстрочено, і особи, звільненого умовно-достроково;
- з метою інформування органів внутрішніх справ про надходження пацієнта, щодо якої є достатні підстави вважати, що шкода його здоров'ю заподіяно в результаті протиправних дій.
Персональні дані пацієнта можуть бути надані його законному представнику, а також родичам або членам його сім'ї, іншим представникам тільки з письмового дозволу самого пацієнта або його законного представника.
Оператор і інші особи, які отримали доступ до персональних даних пацієнтів, зобов'язані не розголошувати третім особам і не поширювати персональні дані без згоди суб'єкта персональних даних, якщо інше не передбачено федеральним законом.
Зберігання персональних даних пацієнтів здійснюється формі, що дозволяє їх ідентифікувати і має відбуватися в порядку, що виключає їх втрату або їх неправомірне використання.
Термін зберігання персональних даних пацієнтів визначається метою обробки персональних даних. Після закінчення терміну зберігання або втрати мети обробки персональних даних підлягають знищенню, знеособлення або передачі в архів.
Заходи щодо забезпечення захисту персональних даних
Суб'єкти персональних даних - працівники медичної організації і пацієнти (їх законні представники), передаючи відомості про себе, має право розраховувати на дотримання конфіденційності при використанні даної інформації в медичній організації. Це має на увазі не тільки застосування технічних засобів захисту (спеціальні сертифіковані програмні та технічні засоби захисту інформації), але і проведення комплексу організаційних заходів, спрямованих на запобігання втрати, перекручування і несанкціонованого доступу до персональних даних, а саме:
1. призначені особи, відповідальні за організацію обробки та забезпечення безпеки персональних даних;
2. розроблено і впроваджено Положення про захист персональних даних працівників і пацієнтів;
3. особи, які ведуть обробку персональних даних працівників / пацієнтів, проінструктовані і ознайомлені з нормативними правовими актами, що регламентують порядок роботи і захисту персональних даних;
4. з метою здійснення внутрішнього контролю відповідності обробки персональних даних, встановленим вимогам, проводяться періодичні перевірки умов обробки персональних даних;
5. інші необхідні заходи безпеки.
1. Інформація, що відноситься до персональних даних, що стала відомою у зв'язку з реалізацією трудових відносин, є конфіденційною інформацією і охороняється законом.
2. Працівники та інші особи, які отримали доступ до оброблюваних персональних даних, попереджені про можливу дисциплінарної, адміністративної, цивільно-правової або кримінальної відповідальності в разі порушення норм і вимог чинного законодавства, що регулює правила обробки і захисту персональних даних.
1. Ця Політика набирає чинності з дати його затвердження Наказом головного лікаря.
2. До обов'язків відділу кадрів установи, входить ознайомлення з цією Політикою всіх працівників, прийнятих на роботу до підписання трудового договору, під особистий підпис.
3. В обов'язки працівників, які здійснюють первинний збір персональних даних пацієнта, входить отримання згоди пацієнта (його законного представника) на обробку його персональних даних, під особистий підпис.
5. У разі внесення в справжню Політику істотних змін, до них буде забезпечений необмежений доступ усім зацікавленим суб'єктам персональних даних.