Политика в отношении обработки и защиты персональных данных

1. Общие положения

1.1. Настоящее положение принято в целях обеспечения требований защиты прав пациентов в Федеральном государственном бюджетном научном учреждении «Институт экспериментальной медицины» (далее — ФГБНУ «ИЭМ») при обработке их персональных данных.

1.2. Положение определяет права и обязанности пациентов и сотрудников ФГБНУ «ИЭМ», порядок использования персональных данных. Персональные данные могут обрабатываться для целей, непосредственно связанных с деятельностью ФГБНУ «ИЭМ» и собираться только в объеме, необходимом для достижения целей.

1.3. Настоящее Положение разработано на основе и во исполнение части 1 статьи 23, статьи 24 Конституции Российской Федерации, Федеральный закон от 27.07.2006 № 152-ФЗ
«О персональных данных», Постановления Правительства РФ №1119 от 01.11.2012
«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановления Правительства РФ № 687 от 15.09.2008 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Федеральным законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях н о защите информации», Федерального закона № 21.11.2011 №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».

2. Понятие, состав и принципы обработки персональных данных

2.1. Основные понятия
Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Оператор персональных данных – это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Распространение персональных данных – действия, направленные па передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.
Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

2.2. Состав персональных данных
К персональным данным пациентов, которые обрабатываются в учреждении, относятся:

  • фамилия, имя, отчество;
  • дата рождения;
  • реквизиты документа удостоверяющего личность;
  • адрес места жительства;
  • реквизиты полиса медицинского страхования;
  • сведения о наличии льгот;
  • данные о состоянии здоровья;
  • сведения о случаях обращении за медицинской помощью;

2.3. Принципы обработки персональных данных
Обработка персональных данных должна осуществляться на основе принципов:

  • законности целей и способов обработки персональных данных и добросовестности;
  • соответствия целей обработки персональных данных целям, заранее определенным при сборе персональных данных;
  • достоверности персональных данных и их достаточности;
  • личной ответственности сотрудников организации за сохранность и конфиденциальность персональных данных, а также носителей этой информации;
  • наличие четкой разрешительной системы доступа сотрудников организации к документам и базам данных, содержащим персональные данные.

2.4. Согласие субъекта на обработку его персональных данных

2.4.1. Обработка специальных категорий персональных данных, таких как состояние здоровья, допускается только с согласия субъекта персональных данных. Согласие должно быть получено от субъекта персональных данных в письменном виде.

2.4.2. Документ, фиксирующий факт получения согласия субъекта персональных данных, включает в себя:

  • фамилию, имя, отчество, адрес пациента, номер основного документа, удостоверяющего его личность, сведения о дате его выдачи в выдавшем органе;
  • наименование и адрес оператора обработки персональных данных;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие пациента;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  • срок, в течение которого действует согласие, а также порядок его отзыва.

2.4.3. С согласия гражданина или его законного представителя допускается передача сведений, составляющих врачебную тайну, другим гражданам, в том числе должностным лицам, в интересах обследования и лечения пациента, для проведения научных исследовании, публикации в научной литературе, использования этих сведений в учебном процессе и в иных целях.

2.4.4. Предоставление сведений, составляющих персональные данные, без согласия гражданина или его законного представителя допускается:

  • в целях обследования и лечения гражданина, не способного из-за своего состояния выразить свою волю;
  • при угрозе распространении инфекционных заболеваний, массовых отравлений и поражений;
  • по запросу органов дознания и следствия и суда в связи с проведением расследования или судебным разбирательством:
  • в случае оказания помощи несовершеннолетнему в возрасте, установленном частью второй статьи 24 «Основ законодательства Российской Федерации об охране здоровья граждан», для информирования его родителей или законных представителей;
  • при наличии оснований, позволяющих полагать, что вред здоровью гражданина причинен в результате противоправных действий;

2.5. Перечень персональных данных пациентов, обрабатываемых в ФГБНУ «ИЭМ»

2.5.1. В целях организации оказания медицинской помощи пациентам обработка персональных данных пациента осуществляется в медицинских структурных подразделениях ФГБНУ «ИЭМ» (далее Подразделения).

2.5.2. Персональные данные пациентов обрабатываются в Подразделения на основании:

  • Статьи 23, статьи 24 Конституции Российской Федерации,
  • Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • Постановления Правительства РФ №1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Постановления Правительства РФ №687 от 15.09.2008 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Федерального закона от 27.07.2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  • Федерального закона от 21.11.2011 №323-Ф3 «Об основах охраны здоровья граждан в Российской Федерации»;
  • Лицензий па осуществление медицинской деятельности.

2.5.3. Персональные данные пациентов содержатся в следующих документах:

  • «Медицинская карта амбулаторного больного» УФ №025/у;
  • «Журнал учета больных, направленных на госпитализацию»;
  • «Медицинская карта стационарного больного» форма № 003/у:
  • «Выписка из медицинской карты амбулаторного, стационарного больного» форма 027/ у;
  • «Экстренное извещение об инфекционном заболевании, пищевом, остром профессиональном отравлении, необычайной реакции на прививку» форма № 058/ у;
  • «Журнал учета клинико-экспертной работы лечебно-профилактического учреждения» форма
    № 035/у-02;
  • «Журнал регистрации листков нетрудоспособности» форма № 036/у;
  • Журнал регистрации пациентов при обследовании на ВИЧ.

2.5.4. Перечень персональных данных пациентов утверждается приказом директора ФГБНУ «ИЭМ». Сотрудники ФГБНУ «ИЭМ», имеющие доступ к персональным данным пациентов, подписывают обязательство о неразглашении конфиденциальной информации.

3. Условия обработки н меры по обеспечению безопасности персональных данных пациентов в ФГБНУ «ИЭМ»

3.1. ФГБНУ «ИЭМ» обрабатывает персональные данные пациента путем: сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), обезличивания, уничтожения неавтоматизированным способом.

3.2. Срок обработки ФГБНУ «ИЭМ» персональных данных пациента соответствует сроку хранения первичной медицинской документации. Пациент имеет право отозвать свое согласие на обработку его персональных данных посредством составления соответствующею письменного документа, который может быть направлен на адрес ФГБНУ «ИЭМ» по почте заказным письмом с уведомлением, либо вручен лично под расписку представителю администрации ФГБНУ «ИЭМ».
В случае получения письменного заявления об отзыве согласия на обработку персональных данных, ФГБНУ «ИЭМ» обязано прекратить обработку в течение периода времени, необходимого для завершения взаиморасчетов по оплате оказанной пациенту медицинской помощи.

3.3. Персональные данные пациентов хранятся:

  • на бумажных носителях: в помещениях архива, регистратуры, кабинетов Подразделений;
  • в цифровом виде: в базе данных Медицинской информационной системе «Инфоклиника» (далее МИС «Инфоклиника»).

3.3.1. База данных МИС «Инфоклиника» и программное обеспечение находятся на физическом сервере, на территории Подразделения;

3.3.2. При записи пациентов с веб-сайта Подразделения данные передаются непосредственно на сервер с базой данных МИС «Инфоклиника» через сеть Интернет по защищенному криптографическому протоколу Secure Sockets Layer (SSL);

3.3.3. Передача данных (результаты исследований, переписка с пациентом или его законным представителем и др.) осуществляется по выделенному каналу связи, с использованием криптографического провайдера Cryptography Service Provider (CSP);

3.3.4. Доступ к персональным данным пациентов осуществляется только сотрудниками, имеющими право доступа.

3.4. Директор ФГБНУ «ИЭМ» утверждает Перечень лиц, имеющих доступ в помещения, в которых обрабатываются (в том числе хранятся) персональные данные, и ответственных лиц за нарушение режима защиты этих персональных данных в соответствии с законодательством РФ.

3.5. Руководитель Подразделения может передавать персональные данные пациента третьим лицам, без его согласия только в случаях, прямо предусмотренных действующим законодательством РФ. При передаче персональных данных пациента третьим лицам руководитель Подразделения предупреждает лиц, получающих данную информацию, о том, что эти данные могут быть использованы ими лишь в целях, для которых персональные данные сообщены, и требует от этих лиц письменное подтверждение соблюдения этого
условия. В Подразделениях ведется Журнал учета выданных третьим липам персональных данных пациентов.

3.6. Персональные данные пациента уточняются, в случае их изменения, ежегодно при первом посещении пациентом Подразделения в соответствующем году.

3.7. В случае обнаружения факта несоблюдения условий хранения носителей персональных данных, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, администрацией ФГБНУ «ИЭМ» проводится разбирательство и по результатам этого разбирательства составляется соответствующий акт.

3.8. Персональные данные пациентов являются конфиденциальной информацией, не подлежащей разглашению, и не могут быть использованы для целей, не перечисленных в
п. 2.4.4 настоящего Положения. Не допускается распространение персональных данных пациента без его письменного согласия или наличия иного основания.

3.9. При хранении материальных носителей персональных данных сотрудниками Подразделений должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

3.10. Неавтоматизированная обработка персональных данных пациентов должна осуществляться сотрудниками Подразделений с учетом особенностей и правил обработки персональных данных, предусмотренных в Постановлении Правительства РФ №687 oт 15.09.2008 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» и в соответствии с Правилами обработки персональных данных (политикой) ФГБНУ «ИЭМ».

3.11. Приказом директора ФГБНУ «ИЭМ» назначаются сотрудники, ответственные за хранение документов, содержащих персональные данные пациентов.

3.12. Иные права, обязанности действия работников, в трудовые обязанности которых входит обработка персональных данных пациентом, определяются должностными инструкциями.

4. Права пациентов ФГБНУ «ИЭМ»

4.1. Пациент имеет право на получение при обращении в Подразделение или при направлении им письменного запроса в Подразделение (запрос должен содержать номер основного документа, удостоверяющего личность пациента или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись пациента или его законного представителя) следующей информации:

  • Подтверждение факта обработки персональных данных в Подразделение, а также цель такой обработки;
  • Сведения об операторе (в Подразделение);
  • Способы обработки персональных данных, применяемые в Подразделение;
  • Сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
  • Перечень обрабатываемых персональных данных и источник их получения;
  • Сроки обработки персональных данных, в том числе сроки их хранения;
  • Сведения о том, какие юридические последствия для пациента может повлечь за собой обработка его персональных данных.

Пациент также имеет право на ознакомление со своими персональными данными, обрабатываемыми в Подразделение, при личном обращении или направлении письменного запроса (запрос должен содержать, номер основного документа, удостоверяющего личность пациента или его законного представителя, сведения о дате выдаче указанного документа и выдавшем его органе и собственноручную подпись пациента или его законного представителя).
Пациент вправе требовать уточнения своих персональных данных, их уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки и пациент предоставил соответствующие сведений, подтверждающие данный факт.

4.2. Если пациент считает, что ФГБНУ «ИЭМ» осуществляет обработку его персональных данных с нарушением требований Федерального закона «О персональных данных» или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие ФГБНУ «ИЭМ» в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке.

4.3. Пациент имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.

5. Обязанности ФГБНУ «ИЭМ» в отношении обработки персональных данных пациентов

5.1. ФГБНУ «ИЭМ» при обработке персональных данных пациентов принимает необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожении, изменения, копирования, распространения персональных данных, а также от иных неправомерных действий.

5.2. ФГБНУ «ИЭМ» осуществляет передачу персональных данных пациента только в соответствии с настоящим Положением и законодательством РФ.

5.3. ФГБНУ «ИЭМ» обязано в порядке, предусмотренном настоящим Положением, сообщить пациенту или его законному представителю информацию о наличии его персональных данных, а также предоставить возможность ознакомления с ними при обращении пациента или его законного представителя либо в течение десяти рабочих дней с даты получения запроса пациента или его законного представителя.
В случае отказа в предоставлении пациенту или его законному представителю при обращении либо получении запроса пациента или его законного представителя информации о наличии персональных данных о соответствующем пациенте, а также таких персональных данных ФГБНУ «ИЭМ» обязано дать в письменной форме мотивированный ответ, содержащий ссылку на положение ч. 5 ст. 14 Федерального закона «О персональных данных» или иного федерального закона, являющееся основанием для такого отказа в срок, не превышающий семи рабочих дней со дня обращения пациента в ФГБНУ «ИЭМ» или его законного представителя либо с даты получения запроса субъекта персональных данных или его законного представителя.

5.4. ФГБНУ «ИЭМ» обязан внести по требованию пациента необходимые изменении, уничтожить его персональные данные по предоставлении пациентом или его законным представителем сведении, подтверждающих, что персональные данные, которые относятся к
соответствующему пользователю и обработку которых осуществляет ФГБНУ «ИЭМ», являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки. О внесенных изменениях и предпринятых мерах ФГБНУ «ИЭМ» уведомляет пациента или его законного представителя третьих лиц, которым персональные данные этого пациента были переданы.

5.5. В случае выявления недостоверных персональных данных или неправомерных действий с ними ФГБНУ «ИЭМ» при обращении или по запросу пациента или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных осуществляем проверку фактом наложенных в обращении.

5.6. В случае подтверждения факта недостоверности персональных данных ФГБНУ «ИЭМ» на основании документов, представленных пациентом или его законным представителем, либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов уточняет персональные данные.

5.7. В случае выявления неправомерных действий с персональными данными, ФГБНУ «ИЭМ» в срок, не превышающий трех рабочих дней с даты такого выявления, обязан устранить допущенные нарушения.
В случае невозможности устранения допущенных нарушении ФГБНУ «ИЭМ» в срок, не превышающий трех рабочих дней с даты выявления неправомерности действий с персональными данными, обязан уничтожить персональные данные.
Об устранении допущенных нарушений или об уничтожении персональных данных ФГБНУ «ИЭМ» уведомляет пациента или его законного представителя, а в случае, если обращение или запрос были направлены уполномоченным органом по защите прав субъектов персональных данных, уведомляет указанный уполномоченный орган.

5.8. В случае прямого отказа пациента от услуг ФГБНУ «ИЭМ», выраженного в письменной форме, ФГБНУ «ИЭМ» прекращает обработку его персональных данных, уничтожает бумажные носители информации о персональных данных пациента. Уничтожение персональных данных производится ФГБНУ «ИЭМ» при условии, что срок хранения медицинской документации закончился.

6. Ответственность ФГБНУ «ИЭМ»

6.1. Защита прав пациентов, установленных настоящим Положением и законодательством РФ, осуществляется судом и уполномоченным органом по защите прав субъектов персональных данных.

6.2. В случае нарушения норм, регулирующих обработку персональных данных пациента ФГБНУ «ИЭМ», лица, виновные в нарушении требований ФЗ «О персональных данных» несут гражданскую, уголовную, административную, дисциплинарную и иную предусмотренную законодательством РФ ответственность.

Скачать