Пн-Пт с 08:00 до 20:00

Положение об обработке и защите персональных данных

Приложение  № 1

к приказу ГБУ РД «Республиканский

диагностический центр»

от «30» декабря 2016 г. № 47-П

 

 

Положение

об обработке и защите персональных данных                                                                       ГБУ РД «Республиканский диагностический центр»

  1. Общие положения
  • Настоящим Положением определяется порядок получения, обработки, хранения, передачи и любого другого использования персональных данных субъектов, персональных данных учреждения здравоохранения (работников и пациентов), а также ведения их личных дел, медицинских карт.
  • Упорядочение обращения с персональными данными имеет целью обеспечить соблюдение законных прав и интересов ГБУ РД «Республиканский диагностический центр» и ее работников в связи с необходимостью получения (сбора), систематизации (комбинирования), хранения и передачи сведений, составляющих персональные данные.
  • Цель настоящего Положения — обеспечение в соответствии с законодательством Российской Федерации обработки, хранения и защиты персональных данных сотрудников, пациентов, а также персональных данных, содержащихся в документах, полученных из других организаций, в обращениях граждан и иных субъектов персональных данных.
  • Настоящее Положение по обработке и защите персональных данных (далее — Положение) в ГБУ РД «Республиканский диагностический центр» разработано с учётом принципов, правил и требований, установленных основными правовыми нормативными актами, регламентирующими требования к процессам обработки персональных данных (далее – ПД), соблюдения конфиденциальности, в том числе в учреждениях здравоохранения:
  • Конституция Российской Федерации, ст. 23, 24 (неприкосновенность частной жизни, личная и семейная тайна), ст. 41, 42 (недопустимость сокрытия информации, связанной с угрозой жизни и здоровью);
  • Гражданский кодекс Российской Федерации;
  • Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
  • Федеральный закон «Об информации, информационных технологиях и защите информации» № 149-ФЗ от 27.07.2006;
  • Федеральный закон «О персональных данных» № 152-ФЗ от 27.07.2006;
  • Указ Президента РФ «Об утверждении перечня сведений конфиденциального характера» № 188 от 06.03.1997;
  • Постановление Правительства РФ № 512 от 06.07.2008 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»;
  • Постановление Правительства РФ № 687 от 15.09.2008 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Трудовой кодекс Российской Федерации.

 

  • Упорядочение обращения с персональными данными имеет целью:

— обеспечения в соответствии с законодательством Российской Федерации обработки, хранения и защиты персональных данных работников ГБУ РД «Республиканский диагностический центр»;

— защиты персональных данных пациентов при получении медицинской помощи в ГБУ РД «Республиканский диагностический центр»;

— защиты интересов третьих лиц, с которыми заключены договора, содержащие конфиденциальную информацию, доступ к которым ограничен, а также в обращениях граждан и иных субъектов персональных данных от несанкционированного доступа и разглашения.

  • Настоящее положение обязательно для всех работников ГБУ РД «Республиканский диагностический центр», получающих доступ к сведениям, составляющим персональные данные, медицинскую и коммерческую тайну.
  • Режим конфиденциальности в отношении персональных данных снимается:
  • в случае их обезличивания;
  • по истечении срока их хранения;
  • в других случаях, предусмотренных федеральными законами.
  • Целью настоящего Положения является определение порядка обработки персональных данных пациентов ГБУ РД «Республиканский диагностический центр», обеспечение защиты их прав и свобод при обработке персональных данных, а также установление ответственности должностных лиц, имеющих доступ к персональным данным пациентов, за невыполнение требований и норм, регулирующих обработку и защиту персональных данных.
  • Персональные данные пациентов относятся к категории конфиденциальной информации. Конфиденциальность, сохранность и защита персональных данных обеспечиваются отнесением их к сфере негосударственной (служебной, профессиональной) тайны.
  • Настоящее Положение и изменения к нему вступают в силу с момента его принятия, и применяется к отношениям, возникшим после введения его в действие.

 

  1. Основные понятия и состав персональных данных

 

  • Для целей настоящего Положения используются следующие основные понятия и определения:
  • персональные данные — любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата иместо рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация;
  • оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных;
  • субъект — субъект персональных данных;
  • обработка персональных данных — действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных;
  • распространение персональных данных — действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
  • использование персональных данных — действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц;
  • обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту персональных данных;
  • информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств;
  • конфиденциальность персональных данных- обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания;
  • конфиденциальная информация — это информация (в документированном или электронном виде), доступ к которой ограничивается в соответствии с законодательством Российской Федерации.
  • трансграничная передача персональных данных — передача персональных данных оператором через Государственную границу Российской Федерации органу власти иностранного государства, физическому или юридическому лицу иностранного государства;
  • общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
  • информация — сведения (сообщения, данные) независимо от формы их представления;
  • доступ к информации- возможность получения информации и ее использования;
  • документированная информация — зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель;
  • медицинская тайна — это информация о состоянии здоровья пациента, полученная при его обращении за медицинской помощью, в процессе обследования и лечения, в отношении которой введен режим конфиденциальности;
  • персональные данные пациента — это любая информация о пациенте и членах его семьи, полученная при обращении за медицинской помощью, обследовании и лечении;
  • неуполномоченное лицо — лицо, не имеющее допуска к информации;
  • блокирование персональных данных — временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи;
  • уничтожение персональных данных — действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

 

 

  • Состав персональных данных, обрабатываемых в ГБУ РД «Республиканский диагностический центр»

 

  • К персональным данным субъектов ГБУ РД «Республиканский диагностический центр» относятся:
  • Персональные данные работника — любая информация, относящаяся к данному работнику (субъекту персональных данных) и необходимая ГБУ РД «Республиканский диагностический центр» в связи с трудовыми отношениями, в том числе:
  • фамилия, имя, отчество;
  • год, месяц, дата и место рождения;
  • анкета;
  • автобиография;
  • сведения и копии документов об образовании;
  • сведения о трудовом и общем стаже;
  • сведения о предыдущем месте работы;
  • сведения о составе семьи;
  • паспортные данные;
  • сведения о воинском учете;
  • сведения о заработной плате сотрудника;
  • реквизиты полиса медицинского страхования;
  • сведения о наличии льгот;
  • данные о состоянии здоровья;
  • сведения о случаях обращения за медицинской помощью;
  • сведения о социальных льготах;
  • специальность;
  • национальность;
  • занимаемая должность;
  • адрес места жительства;
  • место работы или учебы членов семьи и родственников;
  • содержание трудового договора;
  • содержание декларации, подаваемой в налоговую инспекцию;
  • дела, содержащие материалы по повышению квалификации и переподготовке

сотрудников, их аттестации, служебным расследованиям;

  • результаты медицинского обследования на предмет годности к осуществлению трудовых обязанностей (для ряда должностей);
  • другая информация, определяемая нормативно-правовыми актами Российской Федерации в области трудовых отношений.
  • Персональные данные пациента — любая информация, относящаяся к данному пациенту (субъекту персональных данных) и необходимая ГБУ РД «Республиканский диагностический центр» в связи с договорными обязательствами с пациентом, в том числе:
  • паспорт или иной документ, удостоверяющий личность;
  • фамилия, имя, отчество
  • дата рождения
  • адрес и место жительства
  • номер телефона
  • сведения о членах семьи пациента
  • полис ОМС;
  • свидетельство о присвоении ИНН (при его наличии).
  • медицинская карта;
  • амбулаторная карта;
  • комплекс материалов по анкетированию, тестированию, проведению собеседований с пациентом;
  • справочно-информационный банк данных по пациенту (картотеки, журналы);
  • подлинники иных документов, передаваемых руководству ГБУ РД «Республиканский диагностический центр», руководителям структурных подразделений и другие учреждения;
  • другая информация о пациенте, полученная при обследовании и оказании медицинской помощи.
  • В соответствии с законодательством медицинскую тайну составляют сведения:
  • о факте обращения пациента за медицинской помощью;
  • о состоянии здоровья пациента;
  • о диагнозе заболевания пациента;
  • другие сведения, полученные при обследовании и лечении пациента.
  • Перечень персональных данных автоматизированной информационной системы ГБУ РД «Республиканский диагностический центр» зависит от категории субъекта персональных данных и утверждается главным врачом.

 

 

  1. Общие принципы обработки персональных данных

 

  • Обработка персональных данных осуществляется на основе принципов:
  • обработка персональных данных должна осуществляться на законной и справедливой основе;
  • обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей;
  • не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
  • не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
  • обработке подлежат только персональные данные, которые отвечают целям их обработки;
  • содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки;
  • обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
  • при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных;
  • оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
  • хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
  • обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законодательством.

 

  1. Общедоступные источники персональных данных

 

  • В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, адресные книги). В общедоступные источники персональных данных с письменного согласия субъектов могут включатьсяего фамилия, имя, отчество, число, месяц и год рождения, адрес, телефон, сведения о профессии и иные персональные данные, представленные субъектом.
  • Сведения о субъекте могут быть в любое время исключены из общедоступных источников персональных данных по требованию субъекта, либо по решению суда или иных уполномоченных государственных органов.

 

  1. Субъекты персональных данных

 

  • Субъектам персональных данных являются следующие категории физических лиц:
  • пациенты и их представители;
  • работники ГБУ РД «Республиканский диагностический центр»;
  • кандидаты для приема на работу.

 

  • Обязанности работников

 

  • Работники ГБУ РД «Республиканский диагностический центр», получившие доступ к медицинской тайне и персональным данным пациентов обязуются обеспечивать конфиденциальность таких сведений.
  • Все сотрудники, имеющие доступ к персональным данным субъектов, обязаны подписать соглашение о неразглашении персональных данных. Форма соглашения о неразглашении персональных данных представлена в приложении № 1 настоящего положения.
  • Обеспечивая конфиденциальность, работник обязуется:
  • знать и соблюдать требования по получению, обработке, передаче, хранению, получению сведений, составляющих профессиональную тайну и персональные данные пациентов, предусмотренные нормативными правовыми актами, коллективным договором, соглашениями, должностной инструкцией, локальными нормативными актами ГБУ РД «Республиканский диагностический центр» и трудовым договором;
  • принимать меры по установлению и сохранению режима конфиденциальности, предусмотренные нормативными правовыми актами, коллективным договором, соглашениями, должностной инструкцией, локальными нормативными актами ГБУ РД «Республиканский диагностический центр» и трудовым договором;
  • не использовать без разрешения обладателя или субъекта персональных данных информацию ограниченного доступа в целях, не связанных с осуществлением трудовой функции;
  • не разглашать сведения, составляющие медицинскую тайну и персональные данные пациентов, а также не совершать иных деяний, влекущих уничтожение или утрату таких сведений (их материальных носителей) или потерю ее коммерческой или иной ценности для ее обладателя;
  • незамедлительно сообщать об утрате или несанкционированном уничтожении сведений, составляющих медицинскую тайну и персональные данные пациента, своему непосредственному руководителю, а также об иных обстоятельствах, создающих угрозу сохранения конфиденциальности таких сведений (в том числе о попытках неправомерного доступа к информации со стороны неуполномоченных лиц);
  • обеспечить хранение первичной учетной документации по учету труда и его оплаты, к которой в частности, относятся документы по учету кадров, документы по учету использования рабочего времени и расчетов с работниками по оплате труда, медицинская документация и др. При этом персональные данные не должны храниться дольше, чем это оправдано выполнением задач, для которых они собирались, или дольше, чем это требуется в интересах лиц, о которых собраны данные;
  • заполнение документации, содержащей персональные данные работника, осуществлять в соответствии с унифицированными формами первичной учетной документации по учету труда и его оплаты, утвержденными постановлением Госкомстата России от 05.01.2004 № 1 «Об утверждении унифицированных форм первичной учетной документации по учету труда  и его оплаты».
  • Работники обязаны проходить обучение и проверку знаний требований по обеспечению конфиденциальности информации не реже, чем один раз в год.
  • При прекращении трудовых отношений с ГБУ РД «Республиканский диагностический центр» работник обязан сдать все материальные носители сведений, содержащие медицинскую тайну и персональные данные пациентов, а также ключи от помещений и шкафов, в которых они хранятся.
  • Сотрудники отдела автоматизированной системы управления обеспечивают следующие меры по защите, хранящейся на сервере информации:
  • ограничение сетевого доступа на сервер для определенных пользователей;
  • организацию в отдельном сегменте сети всех компьютеров пользователей и серверов с ограниченным доступом;
  • организацию контроля технического состояния серверов и уровней защиты и восстановления информации;
  • проведение регулярного резервного копирования информации;
  • ведение аудита действий пользователей и своевременное обнаружение фактов несанкционированного доступа к информации;
  • Защита персональных данных работников и пациентов в ГБУ РД «Республиканский диагностический центр» возлагается на:

— главного врача;

— заместителей главного врача

— главного бухгалтера;

— работников отдела кадров (ведение трудовых книжек, личных карточек формы Т- 2, личных дел);

— работников бухгалтерии (ведение документации по учету труда и его оплате);

— программистов;

— старших медицинских сестер отделений;

— врачей и средний медицинский персонал.

7.8  Защита персональных данных представляет собой жестко регламентированный и динамически-технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности компании.

7.9 Защита персональных данных работника/пациента от неправомерного их использования или утраты должна быть обеспечена работодателем за счет его средств в порядке, установленном федеральными законами.

 

  • Требования по получению, обработке, хранению и использованию информации ограниченного доступа

 

  • Персональные данные субъектов персональных данных могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде.
  • Порядок хранения анкет и иных документов, содержащих информацию персонального характера, а также согласий на обработку персональных данных определяются «Положением о порядке хранения информации персонального характера на бумажных носителях».
  • Информационные системы классифицируются государственными органами, муниципальными органами, юридическими или физическими лицами, организующими и (или) осуществляющими обработку персональных данных, а также определяющими цели и содержание обработки персональных данных (далее — оператор), в зависимости от объема обрабатываемых ими персональных данных и угроз безопасности жизненно важным интересам личности, общества и государства. Сбор и обработка персональных данных осуществляется исключительно с письменного согласия субъекта. Персональные данные субъекта персональных данных относятся к конфиденциальной информации. Требования при обработке персональных данных работника установлены ст. 86 Трудового кодекса РФ и не подлежат изменению и исключению.
  • Порядок хранения анкет и иных документов, содержащих информацию персонального характера, а также согласий на обработку персональных данных определяются «Положением о порядке хранения информации персонального характера на бумажных носителях».
  • Обработка персональных данных пациента осуществляется с согласия субъекта персональных данных на обработку его персональных данных и может осуществляться исключительно в целях ведения медицинского учета, в целях установления медицинского диагноза и оказания медицинских услуг, в целях оформления и исполнения договорных обязательств с пациентом в соответствии с требованиями Законодательства Российской Федерации в области персональных данных.
  • Обработка персональных данных субъекта может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности, количества и качества выполняемой работы, обследования, наблюдения и лечения пациентов и обеспечения сохранности имущества оператора, работника (пациента) и третьих лиц.
  • Обработка персональных данных может осуществляться для статистических или иных научных целей при условии обязательного обезличивания персональных данных.
  • В случае выявления неправомерной обработки персональных данных при обращении пациента или его представителя либо по запросу пациента или его представителя либо уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование неправомерно обрабатываемых персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки. В случае выявления неточных персональных данных при обращении пациента или его представителя либо по их запросу или по запросу уполномоченного органа по защите прав субъектов персональных данных оператор обязан осуществить блокирование персональных данных, относящихся к этому субъекту персональных данных, или обеспечить их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) с момента такого обращения или получения указанного запроса на период проверки, если блокирование персональных данных не нарушает права и законные интересы пациента или третьих лиц.
  • В случае подтверждения факта неточности персональных данных оператор на основании сведений, представленных пациентом или его представителем либо уполномоченным органом по защите прав субъектов персональных данных, или иных необходимых документов обязан уточнить персональные данные либо обеспечить их уточнение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в течение семи рабочих дней со дня представления таких сведений и снять блокирование персональных данных.
  • В случае выявления неправомерной обработки персональных данных, осуществляемой оператором или лицом, действующим по поручению оператора, оператор в срок, не превышающий трех рабочих дней с даты этого выявления, обязан прекратить неправомерную обработку персональных данных или обеспечить прекращение неправомерной обработки персональных данных лицом, действующим по поручению оператора. В случае, если обеспечить правомерность обработки персональных данных невозможно, оператор в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, обязан уничтожить такие персональные данные или обеспечить их уничтожение. Об устранении допущенных нарушений или об уничтожении персональных данных оператор обязан уведомить пациента или его представителя, а в случае, если обращение субъекта персональных данных или его представителя либо запрос уполномоченного органа по защите прав субъектов персональных данных были направлены уполномоченным органом по защите прав субъектов персональных данных, также указанный орган.
  • В случае достижения цели обработки персональных данных оператор обязан прекратить обработку персональных данных или обеспечить ее прекращение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является пациент, иным соглашением между оператором и пациентом либо если оператор не вправе осуществлять обработку персональных данных без согласия пациента, на основаниях, предусмотренных Федеральным законом №152-ФЗ «О персональных данных» или другими федеральными законами.
  • В случае отзыва пациентом согласия на обработку его персональных данных оператор обязан прекратить их обработку или обеспечить прекращение такой обработки (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные данные или обеспечить их уничтожение (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных, иным соглашением между оператором и пациентом либо если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом №152-ФЗ или другими федеральными законами.
  • В случае отсутствия возможности уничтожения персональных данных в течение указанного срока, оператор осуществляет блокирование таких персональных данных или обеспечивает их блокирование (если обработка персональных данных осуществляется другим лицом, действующим по поручению оператора) и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
  • Информация о персональных данных субъекта предоставляется оператору субъектом устно, либо путем заполнения личных карточек формы Т-2 для работников (медицинских карт для пациентов), которые хранятся в личном деле в отделе кадров (регистратуре/архиве). Если персональные данные субъекта возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом и от него должно быть получено письменное согласие (либо письменный отказ). В письменном уведомлении оператор должен сообщить субъекту о целях, предполагаемых источниках и способахполучения персональных данных, характере подлежащих получению персональных данных (например, оформление запроса в медицинское учреждение о прохождении обследования и лечения и т.п.) и последствиях отказа субъекта дать письменное согласие на их получение.
  • Письменное согласие не требуется, если обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных.
  • Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено Федеральным законом, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее — поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные Федеральным законом №152-ФЗ «О персональных данных». В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных в соответствии со статьей 19 Федерального закона №152-ФЗ «О персональных данных».
  • Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных.
  • В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором.
  • Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
  • Оператор обязан рассмотреть возражение в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.
  • Оператор не имеет права получать и обрабатывать персональные данные субъекта, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений и частной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со статьей 24 Конституции Российской Федерации, оператор вправе получать и обрабатывать данные о частной жизни субъекта только с его письменного согласия.
  • Оператор не имеет права получать и обрабатывать персональные данные субъектао его членстве в общественных объединениях или его профсоюзной деятельности, заисключением случаев, предусмотренных федеральными законами.
  • При определении объема и содержания, обрабатываемых персональных данных оператор должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом РФ и иными федеральными законами.
  • При поступлении на работу работник представляет сотрудникам отдела кадров следующие документы, содержащие персональные данные о себе:
  • паспорт или иной документ, удостоверяющий личность;
  • трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства;
  • страховое свидетельство государственного пенсионного страхования;
  • свидетельство о регистрации индивидуального налогового номера (ИНН);
  • документы воинского учета — для военнообязанных и лиц, подлежащих призыву на военную службу;
  • документ об образовании, о квалификации или наличии специальных знаний — при поступлении на работу, требующую специальных знаний или специальной подготовки;
  • При оформлении работника отделом кадров заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:

— общие сведения (Ф.И.О., дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);

  • сведения о воинском учете;
  • данные о приеме на работу;
  • сведения об аттестации;
  • сведения о повышенной квалификации;
  • сведения о профессиональной переподготовке;
  • сведения о наградах (поощрениях), почетных званиях;
  • сведения об отпусках;
  • сведения о социальных гарантиях;
  • сведения о месте жительства и о контактных телефонах.

При приеме к врачу пациент представляет следующие документы, содержащие персональные данные о себе:

  • паспорт или иной документ, удостоверяющий личность, гражданство;
  • полис ОМС;
  • страховой номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС);

— в отдельных случаях с учетом специфики обследования в учреждение здравоохранения действующим законодательством Российской Федерации может предусматриваться необходимость предъявления дополнительных документов.

8.26 Запрещается требовать от лица, поступающего на работу (или прием), документы помимо предусмотренных Трудовым кодексом РФ, иными федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации.

8.27   При заключении трудового договора и в ходе трудовой деятельности может возникнуть необходимость в предоставлении служащим документов:

  • о возрасте детей;
  • об инвалидности;
  • о донорстве;
  • о составе семьи;
  • о необходимости ухода за больным членом семьи;
  • прочие.

8.28   После того, как будет принято решение о приеме работника на работу, а также впоследствии в процессе трудовой деятельности, к документам, содержащим персональные данные субъекта, также будут относиться:

  • трудовой договор;
  • приказ о приеме на работу; приказы о поощрениях и взысканиях;

— медицинский осмотр сотрудника при приеме на работу;

  • приказы, связанные с прохождением учебы сотрудников;
  • карточка унифицированной формы Т-2, утвержденная постановлением Госкомстата России от 05.01.04 №1;
  • другие документы согласно законодательству Российской Федерации.
  • В случаях, непосредственно связанных с вопросами трудовых отношений, всоответствии со ст. 24 Конституции РФ возможно получение и обработка данных о частной жизни работника только с его письменного согласия.
  • При принятии решений относительно работника на основании его персональных данных не допускается использование данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.
  • Обработка и хранение сведений, составляющих медицинскую тайну иперсональные данные пациентов, осуществляется в таком порядке и таким способом, которые исключают возможность доступа к ней неуполномоченных лиц.
  • Обработка персональных данных пациентов осуществляется с их согласия, за исключением обработки персональных данных, осуществляемой:
  • в целях исполнения договора об оказании платных медицинских услуг, стороной которого является пациент;
  • в статистических или иных научных целях в отношении обезличенныхперсональных данных пациента;
  • в иных случаях, установленных федеральным законом.
  • Во время приема пациента не допускается нахождение на рабочем столемедицинских документов (амбулаторных карт, результатов анализов и т.п.), не относящихся к принимаемому в данный момент пациенту.
  • Субъекты или их законные представители должны быть ознакомлены подрасписку с документами оператора, устанавливающими порядок обработки персональных данных субъектов, а также их права и обязанности в этой области.
  • В целях обеспечения достоверности персональных данных субъект обязан:
  • При приеме на работу (к врачу) предоставить оператору полные достоверные данные о себе.
  • В случае изменения сведений, составляющих персональные данные, работникнезамедлительно должен предоставить данную информацию в отдел кадров учреждения здравоохранения.
  • Не допускается сообщение сведений о состоянии здоровья пациента, диагнозе его заболевания и др. сведений о пациенте с использованием средств связи (телефон, факс, Интернет и т.п.).
  • Не допускается сообщение диагноза заболевания, его прогноза и лечения и др. персональных данных пациента не уполномоченным лицам. Сообщение указанной информации в доступной форме возможно только самому пациенту, а также его законным представителям в предусмотренных законом случаях (несовершеннолетний возраст пациента, недееспособности пациента).
  • В других случаях передача сведений, составляющих медицинскую тайну и персональные данные пациента, другим лицам допускается только с согласия пациента или его законного представителя, в интересах обследования и лечения пациента, для проведения научных исследований, публикации в научной литературе, использования этих сведений в учебном процессе и в иных целях.
  • При отсутствии согласия субъекта обработка общих категорий персональных данных допускается в случае, если:
  • осуществляется на основании и во исполнение федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;
  • обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;
  • обработка персональных данных осуществляется в статистических или иных научных целях при условии обязательного обезличивания персональных данных;
  • Обработка персональных данных осуществляется:
  • без использования средств автоматизации;
  • с использованием автоматизированной информационной системы;
  • Обработка персональных данных необходима для защиты жизни, здоровья илииных жизненно важных интересов субъекта персональных данных, если получениесогласия субъекта персональных данных невозможно. При отсутствии согласия субъекта обработка специальных категорий персональных данных в соответствии с Законом № 152-ФЗ обработка специальных категорий допускается в случае, если:
  • субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;
  • персональные данные являются общедоступными;
  • персональные данные относятся к состоянию здоровья субъекта персональных данных, и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;
  • обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка данных производится лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
  • обработка персональных данных необходима в связи с осуществлением правосудия (запрос из суда, прокуратуры);
  • обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации о безопасности, оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством Российской Федерации.
  • Предоставление сведений, составляющих медицинскую тайну, без согласия пациента или его законного представителя иным лицам допускается:
  • в целях обследования и лечения гражданина, не способного из-за своего состояния выразить свою волю;
  • при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
  • по запросу органов дознания и следствия и суда в связи с проведением расследования или судебным разбирательством;
  • в случае оказания помощи несовершеннолетнему для информирования его родителей или законных представителей;
  • при наличии оснований, позволяющих полагать, что вред здоровью гражданина причинен в результате противоправных действий;
  • в целях проведения военно-врачебной экспертизы в порядке, установленном положением о военно-врачебной экспертизе, утверждаемым уполномоченным федеральным органом исполнительной власти.
  • При передаче персональных данных пациентов третьим лицам должны быть соблюдены следующие требования:
  • персональные данные предоставляются только с письменного согласия пациента, за исключением случаев, предусмотренных федеральным законом;
  • предупреждение лиц, получивших доступ к персональным данным пациента о возможности использования сведений только в установленных целях и об ответственности за нарушение законодательства в этой сфере;
  • соблюдение режима конфиденциальности получателями.
  • Не допускается передача и выдача документов, содержащих медицинскую тайну и персональные данные пациента, неуполномоченным лицам.

Передача соответствующих документов в регистратуру возможна только самим лечащим врачом или медицинским персоналом, имеющим допуск к такой информации.

  • При регистрации пациента и выдачи ему амбулаторной карты, стационарной карты и иных документов, касающихся состояния его здоровья, также должна обеспечиваться конфиденциальность.
  • Хранение сведений, составляющих медицинскую тайну и персональные данные пациентов, осуществляется в порядке, исключающем их утрату, неправомерное использование или получение доступа неуполномоченными лицами, только в соответствии с целями, определившими их получение.
  • Стационарные карты, амбулаторные карты подлежат сдаче в архив, регистратуру для их последующего хранения. Не допускается доступ в помещение для хранения неуполномоченных лиц. Двери помещения для хранения после окончания рабочего дня закрываются и опечатываются. В течение рабочего дня не допускается оставлять данное помещение открытым.
  • Персональные данные субъектов хранятся на бумажных носителях в помещении отдела кадров (регистратуре). Для этого используются специально оборудованные шкафы и сейфы.
  • Личные дела уволенных (прошедших обследование, лечение) субъектов хранятся в архиве учреждения здравоохранения.
  • Сведения о начислении и выплате заработной платы работникам учреждения здравоохранения хранятся на бумажных носителях в помещении расчетного отдела бухгалтерии. По истечении сроков хранения, установленных законодательством РФ, данные сведения передаются в архив учреждения здравоохранения.
  • Конкретные обязанности по ведению, хранению личных дел субъектов, заполнению, хранению и выдаче трудовых книжек, иных документов, отражающих персональные данные субъектов, возлагается на работников отдела кадров, а по хранению личных дел уволенных (обследованных, пролеченных) субъектов — на работников архива и закрепляются в должностных инструкциях.
  • Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.
  • Сведения о субъектах ПД учреждения здравоохранения хранятся также наэлектронных носителях — в базах данных информационных систем; передача информации по внутренней сети и сети Интернет; операции с персональными данными: сбор, хранение, накопление, уточнение, передача,уничтожение данных.
  • При получении сведений, составляющих персональные данные субъектов, заинтересованные лица имеют право получать только те персональные данные, которые необходимы для выполнения конкретных функций и заданий.
  • Все медицинские документы, результаты анализов должны храниться в шкафах, оборудованных замками и закрытых помещениях. Все помещения, в которых хранятся материальные носители информации ограниченного доступа, после окончания рабочего дня опечатываются.
  • Использование сведений, составляющих медицинскую тайну или персональные данные пациентов, допускается только в целях обследования и лечения пациентов в ГБУ РД «Республиканский диагностический центр».
  • Не допускается использовать информацию о пациентах за пределами рабочеговремени и (или) в целях, не связанных с осуществлением своих трудовых обязанностей в ГБУ РД «Республиканский диагностический центр», а также после прекращения трудовых отношений с ГБУ РД «Республиканский диагностический центр».
  • Вынос резервных и технологических копий баз данных автоматизированнойинформационной системы, содержащих информацию персонального характера, из организации запрещен. Передача и копирование резервных и технологических копий баз данных допустима только для прямого использования с целью технологической поддержки автоматизированной информационной системы.
  • Копировать и делать выписки персональных данных работника разрешается исключительно в служебных целях с письменного разрешения руководителя или уполномоченного им лица.
  • Хранение резервных и технологических копий баз данных автоматизированнойинформационной системы, содержащих информацию персонального характера,осуществляется на серверах организации и сменных носителях, доступ к которым ограничен.
  • При принятии решений, затрагивающего интересы субъекта персональных данных, нельзя основываться на персональных данных, полученных исключительно в результате их автоматизированной обработки или электронного получения.
  • Защита персональных данных пациента от неправомерного их использования или утраты должна быть обеспечена ГБУ РД «Республиканский диагностический центр» за счет своих средств, в порядке, установленном федеральным законодательством и другими нормативными документами.
  1. Права и обязанности субъектов в целях защиты персональных данных

 

  • Для своевременной и полной реализации своих прав, субъект обязан предоставить организации-оператору достоверные персональные данные.
  • Субъекты персональных данных не должны отказываться от своих прав на сохранение и защиту тайны.
  • В целях обеспечения защиты персональных данных, хранящихся у оператора, субъекты имеют право на:
  • Полную и безвозмездную информацию об их персональных данных и обработке этих данных.
  • Субъект имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
  • подтверждение факта обработки персональных данных оператором;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые оператором способы обработки персональных данных;
  • наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные Федеральным законом №152-ФЗ «О персональных данных» или другими федеральными законами.
  • Свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные субъекта, за исключением случаев, предусмотренных федеральным законом.
  • В случае, если сведения, а также обрабатываемые персональные данные были предоставлены для ознакомления субъект по его запросу, субъект вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законодательством, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
  • Определение своих представителей для защиты своих персональных данных.
  • Сведения должны быть предоставлены пациенту оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
  • Сведения предоставляются субъекту или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись пациента или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
  • Субъект вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
  • Требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса РФ или иного федерального закона. При отказе оператора исключить или исправить персональные данные субъекта он имеет право заявить в письменной форме оператору о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера субъект имеет право дополнить заявлением, выражающим его собственную точку зрения.
  • Требование об извещении оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях.
  • Если субъект считает, что оператор осуществляет обработку его персональных данных с нарушением требований Федерального Закона № 152-ФЗ «О персональных данных» или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие организации-оператора в Уполномоченный орган по защите прав субъектов персональных данных (Федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере связи, информационных технологий и массовых коммуникаций) или в судебном порядке.
  • Субъект имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
  • Обжалование в суд любых неправомерных действий или бездействия оператора при обработке и защите его персональных данных.

 

  1. Передача персональных данных пациентов третьим лицам

 

  • Передача персональных данных пациентов третьим лицам осуществляется организацией-оператором только с их письменного согласия, за исключением случаев, если:
  • передача необходима для защиты жизни и здоровья пациента либо других лиц, и получение его согласия невозможно;
  • по запросу органов дознания, следствия, прокуратуры и суда в связи с проведением расследования или судебным разбирательством, в соответствии с Законом об оперативно-розыскной деятельности;
  • при наличии оснований, позволяющих полагать, что права и интересы пациента могут быть нарушены противоправными действиями других лиц;
  • в иных случаях, прямо предусмотренных федеральными законами.
  • Лица, которым в установленном законом порядке переданы сведения, составляющие персональные данные пациента, несут дисциплинарную, административную или уголовную ответственность за разглашение в соответствии с законодательством Российской Федерации.
  • Передача персональных данных пациента третьим лицам осуществляется на основании запроса третьего лица с разрешающей визой главного врача или лица, осуществляющего его обязанности на основании приказа главного врача. Организация — оператор обеспечивает ведение Журнала учета выданных персональных данных пациента, в котором регистрируются поступившие запросы, фиксируются сведения о лице, направившем запрос, дата передачи персональных данных, а также отмечается, какая именно информация была передана. Факт поступления запроса/заявления, содержание запрашиваемых персональных данных, а также согласие пациента на их передачу фиксируется уполномоченным лицом работодателя, назначенного приказом главного врача, в Журнал учета выданных персональных данных пациентов по запросам третьих лиц (органов прокуратуры, внутренних дел, службы судебных приставов, организаций и т.п.).
  • В случае если лицо, обратившееся с запросом, не уполномочено федеральными законами на получение персональных данных пациента, либо отсутствует письменное согласие пациента на передачу его персональных данных, организация-оператор обязана отказать в предоставлении персональных данных. В данном случае лицу, обратившемуся с запросом, выдается мотивированный отказ в предоставлении персональных данных в письменной форме, копия отказа хранится у организации-оператора.

 

  1. Порядок передачи персональных данных субъектов персональных данных

 

  • Доступ сотрудников к конфиденциальной информации, содержащейся как в автоматизированной информационной системе организации, так и на бумажных носителях осуществляется с письменного согласия руководителя учреждения или уполномоченного им лица (допуск).
  • Сотрудник, получивший допуск к конфиденциальной информации, должен быть ознакомлен с настоящим Положением.
  • При получении доступа к конфиденциальной информации сотрудники подписывают соответствующие соглашения о неразглашении данной информации.
  • Доступ к автоматизированной информационной системе учреждения разграничен политикой безопасности системы, реализуемой с использованием технических и организационных мероприятий.
  • Каждый пользователь имеет индивидуальную учетную запись, которая определяет его права и полномочия в автоматизированной информационной системе. Информация об учетной записи не может быть передана другим лицам. Пользователь несет персональную ответственность за конфиденциальность сведений собственной учетной записи.
  • Запрещается использование для доступа к автоматизированной информационной системе Организации учетных записей других пользователей.
  • Созданием, удалением и изменением учетных записей пользователей автоматизированной информационной системы занимаются уполномоченные администраторы в соответствии с должностными обязанностями.
  • Право доступа к персональным данным субъектов персональных данных в части их касающейся имеют:

—    главный врач;

  • заместители главного врача;
  • главный бухгалтер;
  • сотрудники бухгалтерии (ведение документации по учету труда и его оплате);
  • сотрудники отдела кадров (ведение трудовых книжек, личных карточек формы Т- 2, личных дел);
  • медицинский персонал, включая врачей, средний и младший медицинский персонал, а также лиц, проходящих стажировку и обучение в объеме необходимом и достаточном для успешного выполнения профессиональной деятельности;

— программисты.

  • При передаче персональных данных субъектов сотрудники ГБУ РД «Республиканский диагностический центр», имеющие доступ к персональным данным, должны соблюдать следующие требования:
  • Не сообщать персональные данные субъекта третьей стороне без письменного согласия работника субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в других случаях, предусмотренных Трудовым кодексом РФ или иными федеральными законами. Учитывая, что Трудовой кодекс РФ не определяет критерии ситуаций, представляющих угрозу жизни или здоровью субъекта, оператор в каждом конкретном случае делает самостоятельную оценку серьезности, неминуемости, степени такой угрозы. Если же лицо, обратившееся с запросом, не уполномочено федеральным законом на получение персональных данных субъекта, либо отсутствует письменное согласие субъекта на предоставление его персональных сведений, либо, по мнению оператора, отсутствует угроза жизни или здоровью субъекта, оператор обязан отказать в предоставлении персональных данных лицу.
  • Не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия.
  • Предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
  • Разрешать доступ к персональным данным субъектов только специально уполномоченным лицам, указанным в пункте8, при этом указанные лица должны иметь право получать только те персональные данные субъектов, которые необходимы для выполнения конкретных функций.
  • Все сведения о передаче персональных данных субъекта регистрируются в Журнале учета передачи персональных данных в целях контроля правомерности использования данной информации лицами, ее получившими. В журнале фиксируются сведения о лице, направившем запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также отмечается, какая именно информация была передана.
  • Передавать персональные данные работника представителю работника в порядке, установленном Трудовым кодексом РФ и настоящим Положением, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанным представителем его функций.
  • При получении доступа к персональным данным субъектов сотрудники подписывают Обязательство о неразглашении персональных данных.
  • К числу массовых потребителей персональных данных вне учреждения относятся:

государственные и негосударственные функциональные структуры;

налоговые инспекции;

правоохранительные органы;

органы статистики;

страховые агентства;

военкоматы;

органы социального страхования;

пенсионные фонды;

подразделения федеральных, областных и муниципальных органов управления.

Контрольно-надзорные органы имеют доступ к информации только в сфере своей компетенции.

 

  • Организация конфиденциального делопроизводства

 

  • Все документы, содержащие информацию ограниченного доступа, должны сохраняться в режиме конфиденциальности и быть доступными только тем лицам, которые имеют допуск к таким сведениям в силу исполнения ими своих должностных обязанностей.

Организация конфиденциального делопроизводства должна исключать ознакомление с информацией иных лиц, не имеющих такого доступа.

  • На документах конфиденциального характера в правом верхнем углу первого листа ставится гриф «Конфиденциально» с указанием номера экземпляра. На обороте листа (обложки) документа с грифом «Конфиденциально» указываются Список лиц, которые вправе использовать документ при осуществлении своей трудовой функции
  • Приказом по ГБУ РД «Республиканский диагностический центр» назначается группа лиц, ответственных за учет, хранение и использование информации, ограниченного доступа.
  • Документы и иные материальные носители, содержащие конфиденциальную информацию, хранятся в сейфе или ином закрытом помещении, приспособлении, к которому отсутствует свободный доступ других лиц.
  • Движение документов с грифом «Конфиденциально» должно своевременно отражаться в «Журнале учета движения конфиденциальных документов ГБУ РД «Республиканский диагностический центр»».
  • При работе с документами, имеющими гриф «Конфиденциально» запрещено:
  • делать выписки в целях, не связанных с оказанием медицинской помощи пациенту или не связанных с осуществлением трудовой функции;
  • знакомить с такими документами, в том числе в электронном виде других лиц, не имеющих соответствующего доступа;
  • использовать информацию из таких документов в открытых сообщениях, докладах, переписке, рекламных изданиях (такое использование допускаетсятолько при условии обезличивания информации;
  • оставлять на рабочем месте документы и иные носители информации с грифом «Конфиденциально»;
  • не допускать к компьютерам, содержащим персональные данные пациентов и медицинскую тайну, посторонних лиц;
  • не оставлять включенными компьютеры, содержащие персональные данные пациентов и медицинскую тайну.

 

  • Особенности предоставления доступа к персональным данным

 

  • При передаче конфиденциальных данных учреждение должно соблюдать следующие требования:
  • Не сообщать данные третьей стороне без письменного согласия соответствующего лица, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью пациента, а также в случаях, установленных федеральным законом.
  • Не сообщать данные в коммерческих целях без его письменного согласия другой стороны.
  • Предупредить лиц, получивших конфиденциальную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие данные, обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен персональными данными пациентов в порядке, установленном федеральными законами.
  • Осуществлять передачу конфиденциальных данных в пределах ГБУ РД «Республиканский диагностический центр» в соответствии с настоящим Положением и Положениями о защите персональных данных работников и пациентов.
  • Разрешать доступ к конфиденциальной информации только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те данные, которые необходимы для выполнения конкретной функции.
  • Передавать персональные данные работников и пациентов его законным, полномочным представителям в порядке, установленном законодательством РФ, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функции. Конфиденциальную информацию по Договорам передавать третьим лицам согласно условиям Договора.
  • Внешний доступ
  • К числу массовых потребителей персональных данных вне организации можноотнести государственные и негосударственные функциональные структуры:
  • налоговые инспекции; правоохранительные органы;
  • органы статистики;
  • страховые агентства;
  • военкоматы;
  • органы социального страхования;
  • ТФОМС, СМО
  • пенсионные фонды;
  • подразделения муниципальных органов управления;
  • органы исполнительной власти.
  • Контрольно-надзорные органы имеют доступ к информации только в сфере своей компетенции.
  • Организации, в которые сотрудник может осуществлять перечисления денежных средств (страховые компании, негосударственные пенсионные фонды, благотворительные организации, кредитные учреждения), могут получить доступ к персональным данным работника только в случае его письменного разрешения.
  • Другие организации.

Сведения о работающем сотруднике или уже уволенном могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением копии нотариально заверенного заявления работника.

  • Персональные данные работников и пациентов обрабатываются и хранятся в АСУ, отделе кадров, архиве учреждения. Конфиденциальная информация по Договорам хранятся в юридическом отделе учреждения.
  • Персональные данные работников и пациентов могут быть получены, проходить дальнейшую обработку и передаваться на хранение, как на бумажных носителях, так и в электронном виде (посредством локальной компьютерной сети).
  • При получении персональных данных не от работника или пациента (за исключением случаев, если персональные данные являются общедоступными) учреждение до начала обработки таких персональных данных, обязан предоставить этому лицу следующую информацию:
  • наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
  • цель обработки персональных данных и ее правовое основание;
  • предполагаемые пользователи персональных данных;
  • установленные федеральными законами права субъекта персональных данных.

 

  • Ответственность за нарушение норм, регулирующих обработку и защиту конфиденциальной информации

 

  • К видам нарушения режима конфиденциальности относятся:
  • разглашение информации, составляющей медицинскую тайну, персональные данные работников и пациентов; разглашение условий и содержания Договора, предусматривающего режим конфиденциальности;
  • неправомерное использование информации, составляющей конфиденциальную информацию (использование без согласия субъекта и (или) в целях, не связанных с оказанием медицинской помощи пациенту в ГБУ РД «Республиканский диагностический центр»);
  • утрата документов и иных материальных носителей сведений, составляющих конфиденциальную информацию в соответствии с разделом настоящего положения;
  • неправомерное уничтожение документов, содержащих конфиденциальную информацию;
  • нарушение требования хранения документов, содержащих конфиденциальную информацию (хранение в открытом доступе, оставление на рабочем столе и т.д.);
  • передача документов и сведений, составляющих конфиденциальную информацию неуполномоченным лицам;
  • другие нарушения требований законодательства и настоящего Положения.
  • Нарушение требований законодательства об обеспечении конфиденциальности влечет наступление уголовной, административной, дисциплинарной, материальной и гражданско-правовой ответственности. Уголовная, административная и гражданско-правовая ответственность наступает в установленных законом случаях.
  • Разглашение конфиденциальную информацию может являться основанием для расторжения трудового договора с работниками ГБУ РД «Республиканский диагностический центр» по подпункту «в» пункта 6 части первой статьи 81 Трудового кодекса Российской Федерации. Работники ГБУ РД «Республиканский диагностический центр», виновные в нарушении порядка обращения с конфиденциальной информацией, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами. Неоднократное нарушение требований режима конфиденциальности может послужить основанием для прекращения трудового договора по пункту 5 части первой статьи 81 Трудового кодекса Российской Федерации.
  • ГБУ РД «Республиканский диагностический центр» за нарушение порядка обращения с конфиденциальной информацией несет ответственность согласно действующему законодательству РФ.
  • Руководитель, разрешающий доступ сотрудника к конфиденциальному документу,содержащему персональные данные, несет персональную ответственность за данное разрешение.

 

  1. Заключительные положения

 

  • Настоящее Положение вступает в силу с момента его утверждения главным врачом ГБУ РД «Республиканский диагностический центр».
  • Настоящее Положение доводится до сведения всех субъектов персональных данных ГБУ РД «Республиканский диагностический центр».

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

Приложение 1

 

СОГЛАШЕНИЕ

о неразглашении персональных данных субъекта

Я,______________________________ , паспорт серии__          , номер

_____________ , выданный__________________________________

______года, понимаю, что получаю доступ к персональным данным работников и/или пациентов ГБУ РД «Республиканский диагностический центр».

Я также понимаю, что во время исполнения своих обязанностей, мне приходится заниматься сбором, обработкой и хранением персональных данных.

Я понимаю, что разглашение такого рода информации может нанести ущерб субъектам персональных данных, как прямой, так и косвенный.

В связи с этим, даю обязательство, при работе (сбор, обработка и хранение) с персональными данными соблюдать все описанные в «Положении об обработке и защите персональных данных работников и пациентов ГБУ РД «Республиканский диагностический центр» требования.

Я подтверждаю, что не имею права разглашать сведения:

  • биографические данные;
  • сведения об образовании;
  • сведения о трудовом и общем стаже;
  • сведения о составе семьи;
  • паспортные данные;
  • сведения о воинском учете;
  • сведения о заработной плате сотрудника;
  • сведения о социальных льготах;
  • специальность;
  • национальность;
  • занимаемая должность;
  • адрес места жительства;
  • домашний телефон;
  • содержание трудового договора;
  • содержание декларации, подаваемой в налоговую инспекцию;
  • подлинники и копии приказов по личному составу;
  • личные дела и трудовые книжки сотрудников;
  • основания к приказам по личному составу;
  • дела, содержащие материалы по повышению квалификации и переподготовке, их аттестации;
  • копии отчетов, направляемые в органы статистики;
  • прочие сведения.

Я предупрежден(а) о том, что в случае разглашения мной сведений, касающихся персональных данных или их утраты я несу ответственность в соответствии со ст. 90 Трудового кодекса Российской Федерации и ст. 183 Уголовного кодекса РФ.

«_____» ___________  20____   г.                                                                 ________________

(подпись)

 

Приложение 2

 

СОГЛАСИЕ

на обработку персональных данных

 

Работник учреждения здравоохранения __________________________________________________

(фамилия, имя, отчество, паспортные данные)

_________________________________________________________________________________

(наименование структурного подразделения)

(далее Субъект), разрешает Государственному бюджетному  учреждению Республики Дагестан «Республиканский диагностический центр» (367009, г. Махачкала, Магомедтагирова ул., д. 172 «б») в лице ответственных за обработку персональных данных должностных лиц (далее — Оператору), обработку своих персональных данных (Список приведен в пункте 3 настоящего Согласия) на следующих условиях:

  1. Субъект дает согласие на обработку Оператором своих персональных данных, то есть совершение следующих действий: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных, при этом общее описание вышеуказанных способов обработки данных приведено в Федеральном законе от 27.07.2006 № 152-ФЗ, а также право на передачу такой информации третьим лицам, если это необходимо для поддержания функционирования информационных систем обеспечения, хозяйственной, научной, организационной и финансово-экономической деятельности учреждения здравоохранения и в случаях, установленных нормативными документами вышестоящих органов и законодательством.
  2. Оператор обязуется использовать данные Субъекта для функционирования информационных систем обеспечения, хозяйственной, научной, организационной и финансово-экономической деятельности учреждения здравоохранения в соответствии с действующим законодательством Российской Федерации. Оператор может раскрыть государственным органам любую информацию по официальному запросу в случаях, установленных законодательством.
  3. Перечень персональных данных, передаваемых Оператору на обработку:

Фамилия, имя, отчество,

дата рождения;

место рождения;

национальность;

специальность;

квалификация;

Сведения о местах обучения, образовании, ученой степени и ученом звании: (город, образовательное учреждение, сроки обучения):

научные труды, изобретения, открытия, патенты, авторские свидетельства и др.;

пребывание за границей;

воинская обязанность;

Сведения о местах работы, профессии, должности, стаже работы (город, название организации, должность, сроки работы);

Сведения о наградах, поощрениях, взысканиях;

Сведения о родителях, семейном положении, детях;

Сведения о месте регистрации, проживания;

Паспортные данные;

Данные документов об образовании, степенях, званиях, наградах, льготах, и др.;

Номер страхового свидетельства государственного пенсионного страхования;

Индивидуальный налоговый номер (ИНН);

Сведения о состоянии здоровья.

Субъект дает согласие на включение в общедоступные источники персональных данных (в соответствии с п. 1 ст. 8 ФЗ №152 от 27.07.2006) информации в рамках функционирования информационных систем обеспечения и мониторинга учебного процесса, научной, организационной и финансово-экономической деятельности учреждения здравоохранения, следующие персональные данные:

Биографические сведения;

Сведения о местах обучения, специальности, квалификации, ученой степени, ученом звании (город, образовательное учреждение, сроки обучения);

Сведения о местах работы профессии, должности, стаже, наградах, льготах (город, название организации, должность, сроки работы);

Данные ИНН, номер пенсионного страхования, паспортные данные;

Фамилия, имя, отчество, пол, дата и место рождения;

Адрес регистрации, адрес проживания;

Сведения об области научных интересов, научных трудах, изобретениях, патентах, авторских свидетельствах и др.;

Фотографическое изображение

  1. Субъект персональных данных ознакомлен с документами организации, устанавливающими порядок обработки персональных данных, а так же со своими правами и обязанностями в этой области. Субъект персональных данных по письменному запросу имеет право на получение информации, касающейся обработки его персональных данных (в соответствии с п. 4 ст. 14 ФЗ №152 от 27.07.2006)
  2. Обработка персональных данных, не включенных в общедоступные источники, прекращается по истечении трёх лет с даты увольнения работника, за исключением случаев передачи данных на архивное хранение. Данные удаляются (уничтожаются) из информационных систем учреждения здравоохранения после указанного срока.
  3. При поступлении Оператору письменного заявления Субъекта о прекращении действия Согласия в случае увольнения, персональные данные деперсонализируются в 15-дневный срок.
  4. Настоящее согласие действует в течение срока хранения личного дела субъекта.

 

 

 

«_____» ______________ 20______ г.                                          _______________

(подпись)

 

 

 

 

 

 

 

 

 

Приложение 3

 

 

СОГЛАСИЕ

на обработку персональных данных

(для пациентов)

 

Я,_____________________________________________________________________ ,

(Ф.И.О. полностью)

проживающий (ая) по адресу________________________________________________ ,

(по месту регистрации) паспорт__________________________________________________

(серия, номер, дата выдачи, наименование выдавшего органа)

в соответствии с требованиями статьи 9 федерального закона от 27.07.2006 «О защите персональных данных» № 152-ФЗ, подтверждаю свое согласие на обработку ГБУ РД «Республиканский диагностический центр», 367009, г. Махачкала, Магомедтагирова ул., д. 172 «б»  (далее — Оператор) моих персональных данных, включающих: фамилию, имя, отчество, пол, дату рождения, адрес проживания, контактный телефон, реквизиты полиса ОМС, страховой номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС), данные о состоянии моего здоровья, заболеваниях, случаях обращения за медицинской помощью, в медико­-профилактических целях, в целях установления медицинского диагноза и оказания медицинских услуг при условии, что их обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну.

В процессе оказания Оператором мне медицинской помощи я предоставляю право медицинским работникам, передавать мои персональные данные, содержащие сведения, составляющие врачебную тайну, другим должностным лицам Оператора, в интересах моего обследования и лечения.

Предоставляю Оператору право осуществлять все действия (операции) с моими персональными данными, включая сбор, систематизацию, накопление, хранение, обновление, изменение, использование, обезличивание, блокирование, уничтожение. Оператор вправе обрабатывать мои персональные данные посредством внесения их в электронную базу данных, включения в списки (реестры) и отчетные формы, предусмотренные документами, регламентирующими предоставление отчетных данных.

Оператор имеет право во исполнение своих обязательств на обмен (прием и передачу) моими персональными данными с медицинскими организациями, органам исполнительной власти, государственным структурам, а так же в порядке установленном действующим законодательством с использованием машинных носителей или по каналам связи, с соблюдением мер, обеспечивающих их защиту от несанкционированного доступа, при условии, что их прием и обработка будет осуществляться лицом, обязанным сохранять профессиональную тайну.

Срок хранения моих персональных данных соответствует сроку хранения первичных медицинских документов (двадцать пять лет — для стационара, пять лет — для поликлиники).

Передача моих персональных данных иным лицам или иное их разглашение может осуществляться только с моего письменного согласия.

Настоящее согласие дано мной «       »____ ____20__ г.

Я оставляю за собой право отозвать свое согласие посредством составления соответствующего письменного документа, который может быть направлен мной в адрес Оператора по почте заказным письмом с уведомлением о вручении либо вручен лично под расписку представителю Оператора.

В случае получения моего письменного заявления об отзыве настоящего согласия на обработку персональных данных, Оператор обязан прекратить их обработку в течение периода времени, необходимого для завершения взаиморасчетов по оплате оказанной мне до этого медицинской помощи.

 

Контактный телефон(ы) ______________________ и      почтовый адрес ______________________________________________________________________________

 

Подпись субъекта персональных данных ______________________