Политика обработки и защиты персональных данных медицинской организацией НУЗ «Узловая поликлиника на станции Печора ОАО «РЖД»

  1. Общие положения.

 

  • Настоящая Политика в отношении обработки персональных данных (далее - Политика) выработана во исполнение соответствия ст. 18.1 Федерального закона № 152-ФЗ от 27.07.2006г. «О персональных данных».

1.2. Настоящая Политика разработана на основании следующих правовых документов:

Конституция Российской Федерации (принята всенародным голосованием 12 декабря 1993 года);

Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных»;

Федеральный закон от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

Указ Президента РФ от 06 марта 1997 года № 188 «Об утверждении перечня сведений конфиденциального характера»;

Трудовой кодекс Российской Федерации, от 30 декабря 2001 года
№ 197-ФЗ;

Гражданский кодекс Российской Федерации (часть первая) от 30 ноября 1994 года № 51-ФЗ.

1.3. Политика разработана в целях реализации требований законодательства в области обработки и защиты персональных данных и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных в НУЗ «Узловая поликлиника на станции Печора ОАО «РЖД», в том числе защиты прав на неприкосновенность частной жизни, личной, семейной и врачебной тайны.

1.4. Положения Политики распространяются на отношения по обработке и защите персональных данных, полученных НУЗ «Узловая поликлиника на станции Печора», таким образом, являющимся Оператором, осуществляющим обработку персональных данных.

1.5. Обработка персональных данных в НУЗ «Узловая поликлиника на станции Печора» осуществляется в связи с осуществлением НУЗ функций, предусмотренных  его учредительными документами, и определяемых:

- Федеральным законом от 21.11.2011г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;

- Федеральным законом от 27.07.2006г. № 152-ФЗ «О персональных данных»;

          - Постановлением Правительства РФ от 15.09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

         - Постановление Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

         - иными нормативно-правовыми актами Российской Федерации.

         Кроме того, обработка персональных данных в НУЗ «Узловая поликлиника на станции Печора ОАО «РЖД» осуществляется в ходе трудовых и иных непосредственно связанных с ними отношений, в которых НУЗ «Узловая поликлиника на станции Печора» выступает в качестве работодателя, в связи с реализацией НУЗ «Узловая поликлиника на станции Печора ОАО «РЖД» своих прав и обязанностей как юридического лица.

         1.6. Настоящая Политика хранится по месту нахождения НУЗ «Узловая поликлиника на станции Печора ОАО «РЖД» по адресу: Республика Коми, г. Печора, ул. Н. Островского, д. 35А, электронная версия Политики – на сайте по адресу: www.nuzpechora.ru.

  1. Термины и принятые сокращения

 

Безопасность персональных данных – состояние защищенности персональных данных, характеризуемое способностью пользователей, технических средств и информационных технологий обеспечить конфиденциальность, целостность и доступность персональных данных при их обработке в информационных системах персональных данных.

Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения, персональных данных, в том числе их передачи.

Доступ к информационной системе персональных данных – получение возможности запуска, выполнения штатных команд, функций, процедур операционной системы (уничтожения, копирования, перемещения и т.п.), исполняемых файлов прикладных программ.

Доступ к информации – возможность получения информации и ее использования.

Защищаемая информация – информация, являющаяся предметом собственности и подлежащая защите в соответствии с требованиями правовых документов или требованиями, устанавливаемыми собственником информации.

Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

Информационная система персональных данных (ИСПДн) – это информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств.

Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.

Носитель информации – физическое лицо или материальный объект, в том числе физическое поле, в котором информация находит свое отражение в виде символов, образов, сигналов, технических решений и процессов, количественных характеристик физических величин.

Обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных.

Обработка персональных данных – действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

         Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Персональные данные (ПДн) – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Пользователь информационной системы персональных данных – лицо, участвующее в функционировании информационной системы персональных данных или использующее результаты ее функционирования.

Правила разграничения доступа – совокупность правил, регламентирующих права доступа субъектов доступа к объектам доступа.

Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

Ресурс информационной системы – именованный элемент системного, прикладного или аппаратного обеспечения функционирования информационной системы.

Средства вычислительной техники – совокупность программных и технических элементов систем обработки данных, способных функционировать самостоятельно или в составе других систем.

Субъект доступа (субъект) – лицо или процесс, действия которого регламентируются правилами разграничения доступа.

Технические средства информационной системы персональных данных - средства вычислительной техники, информационно-вычислительные комплексы и сети, средства и системы передачи, приема и обработки персональных данных (средства и системы звукозаписи, звукоусиления, звуковоспроизведения, переговорные и телевизионные устройства, средства изготовления, тиражирования документов и другие технические средства обработки речевой, графической, видео- и буквенно-цифровой информации), программные средства (операционные системы, системы управления базами данных и т.п.), средства защиты информации.

Трансграничная передача персональных данных - передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства

Угрозы безопасности персональных данных – совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий  при их обработке в информационной системе персональных данных.

Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

Регистратура – подразделение НУЗ «Узловая поликлиника на станции Печора ОАО «РЖД» (далее - НУЗ «Узловая поликлиника на станции Печора ОАО «РЖД») где осуществляется оформление пациента на обследование, стационарное и амбулаторное лечение.

  1. Принципы обеспечения безопасности персональных данных

 

  • Основной задачей обеспечения безопасности персональных данных при их обработке в НУЗ «Узловая поликлиника на станции Печора ОАО «РЖД» является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения персональных данных, разрушения (уничтожения) или искажения их в процессе обработки.
  • В целях обеспечения безопасности персональных данных НУЗ «Узловая поликлиника на станции Печора» руководствуется следующими принципами:

- законность;

- непрерывность защиты персональных данных на всех этапах обработки персональных данных;

- комплексность возможностей информационных технологий, реализованных в информационных системах НУЗ «Узловая поликлиника на станции Печора ОАО «РЖД» для защиты персональных данных;

- своевременность мер, обеспечивающих надлежащий уровень безопасности персональных данных;

- персональная ответственность должностных лиц за обеспечение безопасности персональных данных.

         3.4. В НУЗ «Узловая поликлиника на станции Печора» не производится обработка персональных данных, несовместимая с целью их сбора.

         3.5. При обработке персональных данных обеспечиваются их точность, достаточность, а при необходимости – и актуальность по отношению к цели обработки.

  1. Обработка персональных данных

 

4.1. Порядок получения персональных данных

        

  • Все персональные данные следует получать от самого субъекта. Если персональные данные субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие.
  • НУЗ «Узловая поликлиника на станции Печора» должна сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных, перечне действий с персональными данными, сроке, в течении которого оно действует и порядке его отзыва, а также последствиях отказа субъекта дать письменное согласие на их получение.
  • Обработка персональных данных осуществляется:

– с согласия субъекта персональных данных на обработку его персональных данных;

- в случаях, когда обработка персональных данных необходима для осуществления выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей;

- в случаях, когда осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе.

4.1.4. Оформление согласия на обработку персональных данных пациентов осуществляется в регистратуре перед оформлением пациента на обследование, стационарное или амбулаторное лечение.

4.1.5. Обязанность по сбору согласий на обработку персональных данных  пациентов возлагается на работников регистратур (медицинских регистраторов). Работник регистратуры (медицинский регистратор) не имеет права зарегистрировать (завести историю болезни или амбулаторную карту) поступающего на обследование, стационарное или амбулаторное лечение пациента, если пациент не ознакомился с согласием на обработку персональных данных и не подписал его.

4.1.6. После ознакомления и подписи пациентом согласия на обработку его персональных данных, работник регистратуры вклеивает подписанное согласие в заводимую на пациента историю болезни или амбулаторную карту. Дальнейшее хранение согласия пациента на обработку его персональных данных осуществляется при истории болезни (амбулаторной карте).

4.1.7. Истории болезни и амбулаторные карты выдавать на руки пациентам запрещается. В случае обращения пациента о выдаче ему сведений отраженных в истории болезни (амбулаторной карте), ему выдаются копии.  

Доступ должностных лиц к обрабатываемым персональным данным осуществляется в соответствии с их должностными обязанностями и требованиями локальных актов НУЗ «Узловая поликлиника на станции Печора ОАО «РЖД».

4.2. Хранение персональных данных

 

4.2.1. Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде.

4.2.2. Персональные данные, зафиксированные на бумажных носителях хранятся в запираемых  помещениях с ограниченным правом доступа.

4.2.3. В НУЗ «Узловая поликлиника на станции Печора ОАО «РЖД» не допускается хранение и размещение документов, содержащих персональные данные, в открытых электронных каталогах информационных систем персональных данных.

  • Уничтожение персональных данных

 

 

4.3.1. Уничтожение документов (носителей), содержащих персональные данные  производится путем физического уничтожения носителя или уничтожения информации с носителя.

 4.3.2. При уничтожении бумажных носителей персональных данных используются 2 вида уничтожения: уничтожение через шредирование (измельчение и гидрообработка) и уничтожение через термическую обработку (сжигание).

  • Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.
  • Уничтожение документации, черновиков, испорченных листов и бланков, разрабатываемых в повседневной деятельности учреждения и содержащих персональные данные, производится работниками НУЗ «Узловая поликлиника на станции Печора ОАО «РЖД», которые производят их разработку, и осуществляется в рабочих помещениях с использованием бытовых шредеров.
  • Уничтожение черновиков, испорченных листов и бланков, содержащих персональные данные работников и пациентов методом их разрыва и помещения в корзину для бумаг ЗАПРЕЩАЕТСЯ.
  • Уничтожение архивных медицинских документов, содержащих персональные данные работников и пациентов, с истекшими сроками хранения и утративших практическую ценность, осуществляется комиссией.
  • На отобранные для уничтожения архивные медицинские документы, содержащие персональные данные пациентов, составляется акт об уничтожении. После написания акта комиссией производится сверка акта с учетными данными. О произведенном отборе и сверке члены комиссии расписываются в акте, после чего он утверждается руководителем НУЗ «Узловая поликлиника на станции Печора ОАО «РЖД».
  • Перед уничтожением архивных медицинских документов, содержащих персональные данные пациентов, комиссия сверяет их номера, наименования и количество с записями в акте. В актах на уничтожение не должно быть исправлений. Второй и последующие листы акта заверяются подписью председателя комиссии. Все включенные в акт медицинские документы после сверки уничтожаются.
  • Архивные медицинские документы, содержащие персональные данные пациентов, уничтожаются в присутствии всех членов комиссии, которые несут персональную ответственность за полноту их уничтожения, о чем расписываются в акте. После уничтожения архивных медицинских документов, содержащих персональные данные пациентов, работник подразделения, ведущего их учет, производит отметки об уничтожении в соответствующих книгах и журналах учета. В актах делается отметка о списании уничтоженных носителей сведений, содержащих персональные данные, которая заверяется ответственным за их учет работником.
  • Одновременно с уничтожением архивных медицинских документов осуществляется уничтожение персональных данных во всех информационных системах персональных данных, где производилась их обработка и хранение.
  • Акты об уничтожении архивных медицинских документов хранятся постоянно.
  • В случае большого количества отобранных для уничтожения архивных медицинских документов, содержащих персональные данные, их уничтожение может производиться с привлечением сторонних организаций. При этом должны выполняться следующие требования:

- уничтожение документации должно производиться в присутствии всех членов комиссии;

- уничтожение документации должно производиться без ознакомления лиц сторонней организации с ее содержанием, методом сжигания в опечатанных мешках;

- при заключении договора на выполнение работ, в нем должен быть отражен раздел о соблюдении конфиденциальности.

  • Передача персональных данных

4.4.1. НУЗ «Узловая поликлиника на станции Печора ОАО «РЖД» может передавать персональные данные третьим лицам в следующих случаях:

- субъект выразил свое согласие на такие действия;

- передача предусмотрена законодательством Российской Федерации.

4.4.2. Передача персональных данных пациентов может осуществляться между лечащими врачами и медицинскими работниками отделений, а также между структурными подразделениями НУЗ «Узловая поликлиника на станции Печора ОАО «РЖД» в целях выполнения ими своих функциональных обязанностей.

4.4.3. С согласия гражданина или его законного представителя допускается передача информации, содержащей персональные данные, другим гражданам, в том числе третьим лицам, в интересах обследования и лечения пациента, для проведения научных исследований, публикации в научной литературе, использования этих сведений в учебном процессе и в иных целях.

     4.4.4. Согласие пациентов на передачу их персональной информации третьим лицам необходимо запрашивать, в случаях, когда:

данные передаются третьим лицам, организациям (учреждениям), которые не занимаются предоставлением медицинских услуг, например страховым компаниям, работодателям или используются в целях, которые не связаны с предоставлением медицинской помощи, например для сбора средств, продвижения медицинских товаров и услуг и т.п.;

         предполагается раскрытие, опубликование персональной информации (например, при проведении исследований).

4.4.5. Предоставление сведений, содержащих персональные данных, без согласия гражданина или его законного представителя допускается:

1) в целях обследования и лечения гражданина, не способного из-за своего состояния выразить свою волю;

2) при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;

3) по запросу органов дознания, следствия и суда в связи с проведением расследования или судебным разбирательством;

4) в случае оказания помощи несовершеннолетнему лицу, для информирования его родителей или законных представителей;

5) при наличии оснований, позволяющих полагать, что вред здоровью гражданина причинен в результате противоправных действий;

6) в случае смерти пациента, заключение о причине смерти и диагнозе заболевания выдается членам семьи, а при их отсутствии – близким родственникам или законному представителю умершего, а также правоохранительным органам по их требованию.

Лица, которым в установленном законом порядке переданы сведения, содержащие персональные данные пациентов, наравне с медицинскими и фармацевтическими работниками с учетом причиненного гражданину ущерба несут за разглашение данной информации дисциплинарную, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.

4.4.6. Выемка документов из дел и выдача архивных материалов из архива за пределы лечебного учреждения, хотя бы и для временного пользования, запрещается, за исключением тех случаев, когда такая выемка или выдача производится с ведома главного врача лечебного учреждения по требованиям:

а) судебно-следственных органов;

б) судебно-медицинской экспертизы;

в) органов государственного контроля;

г) органов прокурорского надзора;

д) представители Департамента здравоохранения ОАО «РЖД».

В таких случаях на место изъятых подлинников документов вкладываются, заверенные главным врачом НУЗ «Узловая поликлиника на станции Печора ОАО «РЖД», копии подлинников документов с отметкой на них основания и даты выемки или выдачи и ссылкой на акт.

  1. Защита персональных данных

 

 

5.1. В соответствии с требованиями нормативных документов в НУЗ «Узловая поликлиника на станции Печора ОАО «РЖД» создана система защиты персональных данных, состоящая из подсистем правовой, организационной и технической защиты.

5.2. Общую организацию защиты персональных данных лиц осуществляет ответственный за организацию безопасности персональных данных, назначенный приказом главного врача НУЗ «Узловая поликлиника на станции Печора ОАО «РЖД». Ответственный за организацию безопасности персональных данных отвечает за:

- ознакомление сотрудников НУЗ «Узловая поликлиника на станции Печора ОАО «РЖД», которые участвуют в обработке персональных данных, под роспись с настоящим Положением, а также с другими организационно-распорядительными документами НУЗ «Узловая поликлиника на станции Печора ОАО «РЖД», регламентирующими обработку и защиту персональных данных;

- истребование с сотрудников  письменного обязательства о неразглашении персональных;

- общий контроль за соблюдением сотрудниками НУЗ «Узловая поликлиника на станции Печора ОАО «РЖД» мер по защите персональных данных субъекта.

5.3. Организацию и контроль за защитой персональных данных субъектов, в отделениях и структурных подразделениях НУЗ «Узловая поликлиника на станции Печора ОАО «РЖД», сотрудники которых имеют доступ к персональным данным, осуществляют их непосредственные руководители.

  1. Порядок исполнения законных требований субъектов персональных данных

6.1. В соответствии с Федеральным законом от 27 июля 2006 года
№ 152-ФЗ «О персональных данных» субъект персональных данных может потребовать от оператора, осуществляющего обработку его персональных данных, исполнения следующих требований:

- предоставления сведений об операторе персональных данных и о месте его нахождения;

- предоставления сведений о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных;

- ознакомление со своими персональными данными, находящимися у оператора;

- уточнения своих персональных данных;

- блокирования или уничтожения своих персональных данных в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

6.2. Все требования, предъявляемые субъектом к оператору персональных данных оформляются им письменно, в виде заявления (аргументированного письма) в адрес руководства НУЗ «Узловая поликлиника на станции Печора ОАО «РЖД». Письменные требования пациентов к Оператору персональных данных оформляются пациентом в виде аргументированного письма в адрес директора НУЗ «Узловая поликлиника на станции Печора ОАО «РЖД» и направляются заказными почтовыми отправлениями с обратным уведомлением о получении.

6.3. Решение об удовлетворении требований субъекта персональных данных, либо отказе ему в них принимается руководителем НУЗ «Узловая поликлиника на станции Печора ОАО «РЖД». При этом, в случае принятия решения об отказе в удовлетворении требований субъекта, отказ должен быть законодательно аргументирован. Все принятые решения оформляются в письменном виде и передаются (направляются) субъектам персональных данных.

 6.4. Все обращения субъектов персональных данных с требованиями о выполнении Оператором персональных данных его законных прав регистрируются в Журнале учета обращений (запросов) субъектов персональных данных о выполнении их законных прав в области защиты персональных данных. Ведение журнала возлагается на ответственного за обеспечение безопасности информации в НУЗ «Узловая поликлиника на станции Печора ОАО «РЖД».