Соглашение на обработку персональных данных
ПОЛОЖЕНИЕ
О защите и обработке персональных данных пациентов
Общие положения
1.1. Положение об обработке и защите персональных данных пациентов (далее - "Положение") разработано в целях защиты персональных данных пациентов ООО «Городской Центр Медосмотра» и ООО «Мед-Альянс» от несанкционированного доступа, неправомерного использования и утраты.
1.2. Настоящее Положение определяет порядок получения, обработки, учёта, накопления, хранения и защиты от несанкционированного доступа и разглашения сведений, составляющих персональные данные пациентов ООО «Городской Центр Медосмотра» (далее – «оператор», «ГЦМ») и ООО «Мед-Альянс» (далее – «оператор», «Мед-Альянс»)
1.3. Обработка персональных данных пациентов организована оператором на принципах:
- законности и справедливости;- обработки только персональных данных, которые отвечают целям их обработки;
- соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
- обеспечения точности персональных данных, их достаточности, а в необходимых случаях и актуальности по отношению к целям обработки персональных данных. Оператор принимает необходимые меры либо обеспечивает их принятие по удалению или уточнению неполных или неточных данных;
- хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных.
1.4. Обработка персональных данных пациентов ООО «Городской Центр Медосмотра» и ООО «Мед-Альянс» осуществляется с соблюдением принципов и правил, предусмотренных Конституцией РФ, Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных», Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», Федеральным законом от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации», Федеральным законом от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» и настоящим Положением.
1.5. Настоящее Положение и изменения к нему утверждаются руководителем оператора, вводятся приказом оператора и публикуются на сайте оператора . Все сотрудники оператора, работающие с персональными данными пациентов, должны быть ознакомлены с настоящим Положением под роспись.
1.6. При обработке персональных данных оператор применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", Постановлением Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных", и иными документами.
Понятие, сбор и обработка персональных данных
2.1. Под персональными данными пациентов понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу, в том числе, его фамилия, имя, отчество, пол, год, месяц, дата и место рождения, адрес места жительства и регистрации, контактные телефоны, реквизиты полиса ОМС (ДМС), индивидуального лицевого счета в Пенсионном фонде России (СНИЛС), паспортные данные, данные о состоянии здоровья, заболеваниях, случаях обращения за медицинской помощью, данные о составе семьи, прочие сведения, которые могут идентифицировать человека.
Подробный перечень персональных данных утверждается приказом руководителя.
Персональные данные пациентов относятся к специальной категории персональных данных, обработка таких персональных данных должна осуществляться лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну.
Персональные данные пациентов являются конфиденциальными сведениями. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении срока хранения, если иное не определено законодательством РФ.
Обеспечение конфиденциальности персональных данных не требуется:
- в случае обезличивания персональных данных;
- в отношении общедоступных персональных данных.
2.2. Обработка персональных данных пациентов - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных пациентов.
2.3. Целью обработки персональных данных пациентов является обеспечения соблюдения законов и иных нормативных правовых актов, установление медицинского диагноза и оказания медицинских услуг.
2.4. Пациент принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных даётся в письменной форме и должно быть конкретным, информированным и сознательным. В случае получения согласия на обработку персональных данных от представителя субъекта персональных данных полномочия данного представителя на дачу согласия от субъекта персональных данных проверяются оператором.
В случае недееспособности пациента согласие на обработку его персональных данных дает его законный представитель.
Согласие пациента на обработку его персональных данных должно храниться вместе с его иной медицинской документацией.
Согласие субъекта персональных данных в письменной форме на обработку его персональных данных должно включать в себя, в частности:
- фамилию, имя, отчество субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- фамилию, имя, отчество представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
- наименование или фамилию, имя, отчество и адрес, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- перечень действий с персональными данными, на совершение которых дается согласие;
- срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено Федеральным законодательством;
- подпись субъекта персональных данных.
Кроме того, предоставление сведений о факте обращения пациента за оказанием медицинской помощи, сведений о состоянии его здоровья и диагнозе, иных сведений, полученных при его медицинском обследовании и лечении (врачебная тайна), без согласия гражданина или его законного представителя допускается:
1) в целях проведения медицинского обследования и лечения пациента, который в результате своего состояния не способен выразить свою волю, если медицинское вмешательство необходимо по экстренным показаниям для устранения угрозы жизни человека и если его состояние не позволяет выразить свою волю или отсутствуют его законные представители.
2) при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
3) по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля за поведением условно осужденного, осужденного, в отношении которого отбывание наказания отсрочено, и лица, освобожденного условно-досрочно;
4) в случае оказания медицинской помощи несовершеннолетнему в соответствии с пунктом 2 части 2 статьи 20 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ», а также несовершеннолетнему, не достигшему возраста, установленного частью 2 статьи 54 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ», для информирования одного из его родителей или иного законного представителя;
5) в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий;
6) в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов, кадровых служб и военно-врачебных (врачебно-летных) комиссий федеральных органов исполнительной власти, в которых предусмотрена военная и приравненная к ней служба;
7) в целях расследования несчастного случая на производстве и профессионального заболевания;
8) при обмене информацией медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства Российской Федерации о персональных данных;
9) в целях осуществления учета и контроля в системе обязательного социального страхования;
10) в целях осуществления контроля качества и безопасности медицинской деятельности в соответствии с Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ».
2.6. Согласие на обработку персональных данных может быть отозвано пациентом. В случае отзыва пациентом согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия пациента при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных". Обязанность предоставить доказательство получения согласия пациента на обработку его персональных данных или доказательство наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных", возлагается на оператора.
2.7. При обработке персональных данных оператор должен соблюдать следующие требования:
- обработка персональных данных может осуществляться исключительно в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг, оформления договорных отношений с субъектом персональных данных при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну в соответствии с законодательством Российской Федерации;
- все персональные данные пациента следует получать у него самого. Персональные данные могут быть получены оператором от лица, не являющегося субъектом персональных данных, при условии предоставления оператору подтверждения наличия оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных". Если персональные данные возможно получить только у третьей стороны, то субъекта персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.;
- При определении объема и содержания, обрабатываемых персональных данных, ГЦМ и «Мед-Альянс» руководствуется Конституцией Российской Федерации, Федеральным законом № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», законодательством Российской Федерации в сфере защиты персональных данных и обработки информации;
- оператор не имеет права получать и обрабатывать персональные данные, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, за исключением случаев, предусмотренных Федеральным законом № 152-ФЗ;
- Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных Федеральным законодательством, устанавливающим меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных или при наличии согласия в письменной форме субъекта персональных данных;
- оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов. Оператор обязан рассмотреть возражение в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения;
- Защита персональных данных субъектов персональных данных от неправомерного их использования или утраты должна быть обеспечена оператором за счет своих средств, в порядке, установленном Федеральным законодательством и другими нормативными документами.
2.8. В случае необходимости проверки персональных данных субъекта персональных данных оператор заблаговременно должно сообщить об этом субъекту персональных данных, о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа субъекта персональных данных дать письменное согласие на их получение.
2.9.Оператор не имеет право получать и обрабатывать персональные данные пациента о его политических, религиозных и иных убеждениях и частной жизни.
2.10. При передаче персональных данных пациента третьим лицам оператор должен соблюдать следующие требования:
не сообщать персональные данные пациента третьей стороне без письменного согласия пациента, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью пациента, а также в других случаях, предусмотренных Федеральным законодательством РФ;
предупредить лиц, получающих персональные данные пациента, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные пациента, обязаны соблюдать режим секретности (конфиденциальности).
разрешать доступ к персональным данным пациентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций.
Согласие пациента на передачу персональных данных не требуется, если законодательством РФ установлена обязанность предоставления оператором персональных данных.
2.11. Передача персональных данных пациента сотрудникам оператора для выполнения должностных обязанностей должна осуществлять только в объёме, необходимом для выполнения их работы.
2.12. Доступ к персональным данным пациентов должен быть ограничен и регламентирован для предотвращения утечки данных.
При хранении материальных носителей с персональными данными пациентов должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный доступ к ним.
2.13. ООО «Городской Центр Медосмотра» и ООО «Мед-Альянс» обеспечивает ограничение доступа к персональным данным субъектов персональных данных. Доступ к персональным данным субъектов персональных данных без специального разрешения имеют только должностные лица ООО «Городской Центр Медосмотра» и ООО «Мед-Альянс», допущенные к работе с персональными данными субъектов персональных данных соответствующим приказом. Данным категориям работников в их должностные обязанности включается пункт об обязанности соблюдения требований по защите персональных данных.
Доступ к персональным данным пациентов внутри ООО «Городской Центр Медосмотра» и ООО «Мед-Альянс» могут иметь:
- заместитель директора;
- главный врач;
- главная медицинская сестра;
- старшая медицинская сестра;
- администратор;
- врач клинической лаборатории;
- фельдшер-лаборант;
- врач-профпатолог;
- менеджер call-центра;
- системный администратор;
- врач, медицинская сестра к – персональным данным пациентов, проходящих у них лечение (обследование);
- сами пациенты - носители своих данных.
2.14. Персональные данные вне ООО «Городской Центр Медосмотра» и ООО «Мед-Альянс» могут представляться в государственные и негосударственные функциональные структуры (внешний доступ):
- правоохранительные органы;
- органы статистики;
- страховые медицинские организации;
- органы социального страхования;
- управление Росздравнадзора по Новосибирской области;
- Министерство здравоохранения Новосибирской области;
- другие лечебно-профилактические учреждения, судебные и правоохранительные органы.
2.15. Персональные данные пациента могут быть предоставлены его законному представителю, а также родственникам или членам его семьи, иным представителям только с письменного разрешения самого пациента либо его законного представителя.
2.16. Результаты лабораторных исследований могут быть предоставлены посредством электронной почты на адрес, указанный лично пациентом в договоре с согласия пациента.
2.17. Оператор и иные лица, получившие доступ к персональным данным пациентов, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
2.18. Хранение персональных данных пациентов должно осуществляться в форме, позволяющей их идентифицировать.
2.19. Хранение персональных данных пациентов должно происходить в порядке, исключающим их утрату или их неправомерное использование. Хранение документов, содержащих персональные данные, осуществляется в соответствии с:
Федеральным законом от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
2.20. Обработка персональных данных субъектов персональных данных в ООО «Городской Центр Медосмотра» и ООО «Мед-Альянс» осуществляется смешанным путем:
неавтоматизированным способом обработки персональных данных;
автоматизированным способом обработки персональных данных (с помощью ПЭВМ и специальных программных продуктов).
Персональные данные субъектов персональных данных хранятся на бумажных носителях и в электронном виде.
2.21. Хранение текущей документации и оконченной производством документации, содержащей персональные данные субъектов персональных, осуществляется во внутренних подразделениях и в помещениях ООО «Городской Центр Медосмотра» и ООО «Мед-Альянс», предназначенных для хранения отработанной документации.
Ответственные лица за хранение документов, содержащих персональные данные субъектов персональных данных, должны быть назначены соответствующим Приказом.
2.22. Хранение персональных данных субъектов персональных данных осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Срок хранения персональных данных пациентов определяется целью обработки персональных данных, а также требованиями нормативных актов. По истечению срока хранения или утраты цели обработки персональные данные подлежат уничтожению, обезличиванию или передаче в архив.
Права и обязанности оператора, пациентов в целях обеспечения защиты персональных данных пациентов
3.1. Оператор при обработке персональных данных обязан:
1) принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных пациентов.
2) издавать документы, определяющие политику оператора в отношении обработки персональных данных пациентов;
3) осуществлять внутренний контроль и (или) аудит соответствия обработки персональных данных Федеральному законодательству и принятыми в соответствии с ним нормативными правовыми актами, требованиям к защите персональных данных, локальным актам оператора;
4) сообщать в порядке, предусмотренном статьей 14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», пациенту или его представителю информацию о наличии персональных данных, относящихся к соответствующему пациенту, а также предоставить возможность ознакомления с этими персональными данными безвозмездно при его обращении или обращении его представителя либо в течение тридцати дней с даты получения запроса субъекта персональных данных или его представителя;
5) вносить в срок, не превышающий семи рабочих дней со дня предоставления пациентов или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, необходимые изменения в них. В срок, не превышающий семи рабочих дней со дня представления пациентом или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить пациента или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого пациента были переданы;
6) в случае выявления неправомерной обработки персональных данных при обращении пациента или его представителя либо по запросу пациента или его представителя либо уполномоченного органа по защите прав субъектов персональных данных осуществлять блокирование неправомерно обрабатываемых персональных данных, относящихся к этому пациенту, с момента такого обращения или получения указанного запроса на период проверки.
7) в случае выявления неточных персональных данных при обращении пациента или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных осуществлять блокирование персональных данных, относящихся к этому пациенту, с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы пациента или третьих лиц;
8) в случае подтверждения факта неточности персональных данных пациента уточнять персональные данные на основании сведений, представленных пациентом или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных;
9) прекращать неправомерную обработку персональных данных в случае выявления неправомерной обработки персональных данных пациентов, в срок, не превышающий трех рабочих дней с даты такого выявления, в случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить пациента или его представителя, а в случае, если обращение пациента или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган;
10) прекращать обработку персональных данных и уничтожать персональные данные в случае достижения цели обработки персональных данных в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено соглашением между оператором и пациентом либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных пунктами 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
11) в случае отзыва пациентом согласия на обработку его персональных данных оператор обязан прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено соглашением между оператором и пациентом либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных пунктами 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
12) в случае отсутствия возможности уничтожения персональных данных в течение сроков, указанных в п. 9 - п. 11 ст.3.1. настоящего Положения, осуществлять блокирование таких персональных данных и обеспечивать уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
13) в срок, не превышающий семи рабочих дней со дня предоставления пациентом или его представителем сведений, подтверждающих, что персональные данные являются неполными, неточными или неактуальными, оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления пациентом или его представителем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить пациента или его представителя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, которым персональные данные этого пациента были переданы.
3.2. В целях обеспечения защиты персональных данных, хранящихся у оператора, пациенты имеют право:
3.2.1. на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального законодательства РФ;
5) обрабатываемые персональные данные, относящиеся к соответствующему пациенту, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законодательством РФ;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) иные сведения, предусмотренные федеральным законодательством РФ, за исключением случаев, предусмотренных ч. 8 ст.14 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
Вышеуказанные сведения должны быть предоставлены пациенту оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
3.2.2. Пациент вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
3.2.3. Сведения, указанные в п.3.2.1. ст.3.2. настоящего Положения, предоставляются пациенту или его представителю оператором при обращении либо при получении запроса пациента или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность пациента или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие пациента в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись пациента или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
3.2.4. В случае, если сведения, указанные в п. 3.2.1. ст.3.2. настоящего Положения, а также обрабатываемые персональные данные были предоставлены для ознакомления пациенту по его запросу, пациент вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в п. 3.2.1. ст.3.2. настоящего Положения, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законодательством или договором, стороной которого является пациент.
3.2.5. Пациент вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных п.3.2.1. ст.3.2. настоящего Положения, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в п.3.2.4. ст.3.2. настоящего Положения, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в п.3.2.3. ст.3.2. настоящего Положения, должен содержать обоснование направления повторного запроса.
3.2.6. Оператор вправе отказать пациенту в выполнении повторного запроса, не соответствующего условиям, предусмотренным п.3.2.4., 3.2.5. ст.3.2. настоящего Положения. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
3.2.7. Решение, порождающее юридические последствия в отношении пациента или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме пациента или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов пациентов. Оператор обязан разъяснить пациенту порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты пациентом своих прав и законных интересов. Оператор обязан рассмотреть указанное возражение в течение тридцати дней со дня его получения и уведомить пациента о результатах рассмотрения такого возражения.
3.2.8. Если пациент считает, что оператор осуществляет обработку его персональных данных с нарушением требований настоящего Положения или иным образом нарушает его права и свободы, пациент вправе обжаловать действия или бездействие оператора в уполномоченный орган по защите прав субъектов персональных данных, также пациент имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда, в судебном порядке.
4. Особенности обработки персональных данных пациентов, осуществляемой без использования средств автоматизации
4.1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
4.2. Сотрудники, осуществляющие обработку персональных данных пациентов без использования средств автоматизации, должны быть проинформированы о факте обработки ими персональных данных пациентов, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных законодательством РФ.
4.3. Персональные данные пациентов при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных, в специальных разделах или на полях форм (бланков).
4.4. При фиксации персональных данных пациентов на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
4.5. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
4.6. Уточнение персональных данных пациентов при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
4.7. Оператор обязан обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
4.8. При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Определяются места хранения персональных данных, которые оснащаются средствами защиты:
В кабинетах, где осуществляется хранение документов, содержащих персональные данные субъектов персональных данных, имеются сейфы, шкафы, стеллажи, тумбы.
Дополнительно кабинеты, где осуществляется хранение документов, оборудованы замками и системами охранной и пожарной сигнализаций.
Оператор использует услуги охраны, помещения оборудованы системой охранной сигнализации.
4.9. При обработке персональных данных без использования средств автоматизации, для каждой категории персональных данных обеспечивается место хранения и перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
4.12. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее - типовая форма), должны соблюдаться следующие условия:
а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;
б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, - при необходимости получения письменного согласия на обработку персональных данных;
в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;
г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.
Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя с уточненными персональными данными.
4.14. Обработка персональных данных осуществляется с соблюдением порядка, предусмотренного Постановлением Правительства от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
5.Особенности обработки персональных данных пациентов, осуществляемой с использованием средств автоматизации
Для обеспечения безопасности персональных данных субъекта персональных данных при автоматизированной обработке предпринимаются следующие меры:
Все действия при автоматизированной обработке персональных данных субъектов персональных данных осуществляются только должностными лицами, согласно Списку должностей, допущенных к работе с персональными данными, утвержденного Приказом директора ООО «Городской Центр Медосмотра» и директора ООО «Мед-Альянс», и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.
Персональные компьютеры, имеющие доступ к базам хранения персональных данных субъектов персональных данных, защищены паролями доступа. Пароли устанавливаются программистом и сообщаются индивидуально работнику, допущенному к работе с персональными данными и осуществляющему обработку персональных данных субъектов персональных данных на данном ПК.
Устанавливаются правила доступа к персональным данным, содержащимся в информационной системе.
Обеспечивается регистрация и учет всех действий, совершаемых с персональными данными в информационной системе.
Используются антивирусные средства защиты, а также средства восстановления систем защиты персональных данных.
Осуществляется учет машинных носителей персональных данных.
Технические средства обработки персональных данных размещаются в пределах помещений, находящихся во владении и пользовании ООО «Городской Центр Медосмотра» и ООО «Мед-Альянс», в которых обеспечивается охрана от пожара, а также противоправных действий третьих лиц.
Обработка персональных данных осуществляется с соблюдением приказа ФСТЭК России от 14 мая 2013 г № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
6. Ответственность
6.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных пациентов, несут дисциплинарную, административную, гражданской правовую или уголовную ответственность в соответствии с федеральными законами РФ.
6.2. Работники ООО «Городской Центр Медосмотра» и ООО «Мед-Альянс», допущенные к обработке персональных данных субъектов персональных данных, за разглашение полученной в ходе своей трудовой деятельности информации, несут дисциплинарную, административную или уголовную ответственность в соответствии с действующим законодательством Российской Федерации.
Если субъект персональных данных или его законный представитель считает, что ООО «Городской Центр Медосмотра» и ООО «Мед-Альянс» осуществляет обработку его персональных данных с нарушением требований Федерального закона № 152-ФЗ или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие ООО «Городской Центр Медосмотра» и ООО «Мед-Альянс» в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
Заключительные положение
- Настоящее Положение вступает в силу с даты его утверждения.
- При необходимости приведения настоящего Положения в соответствие с вновь принятыми законодательными актами, изменения вносятся на основании соответствующего приказа.
- Настоящее Положение распространяется на всех субъектов персональных данных, а также работников ООО «Городской Центр Медосмотра» и ООО «Мед-Альянс», имеющих доступ и осуществляющих перечень действий с персональными данными субъектов персональных данных.
- Субъекты персональных данных, а так же их законные представители имеют право, ознакомится с настоящим Положением.
- В обязанности работников ООО «Городской Центр Медосмотра» и ООО «Мед-Альянс», осуществляющих первичный сбор персональных данных субъекта персональных данных, входит получение согласия субъекта персональных данных на обработку его персональных данных под личную подпись.
- Документы, определяющие политику в отношении обработки персональных данных субъектов персональных данных, размещаются на официальном сайте и информационном стенде оператора в течение семи дней после их утверждения.
Текст соглашения на обработку персональных данных пациента