ГАУЗ "ГОРОДСКАЯ ПОЛИКЛИНИКА №3"; ДӘҮЛӘТ АВТОНОМ СӘЛАМӘТЛЕК САКЛАҮ ОЕШМАСЫ «3-НЧЕ ШӘҺӘР ШИФАХАНӘСЕ»

1. Общая часть

1.1 Настоящее Положение определяет порядок создания, обработки и защиты персональных данных пациентов ГАУЗ «Городская поликлиника № 3» (далее — Учреждение-оператор).

1.2 Основанием для разработки данного локального нормативного акта являются:

·                 Конституция РФ от 12 декабря 1993 г. (ст. 2, 17-24, 41);

·                 часть 1 и 2, часть 4 Гражданского кодекса РФ;

·                 Указ Президента РФ от 06 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;

·                 Федеральный закон от 02 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;

·                 Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

·                 Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;

·                 Федеральный закон Российской Федерации от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;

·                 Постановление Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;

·                 Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;

·                 Постановление Правительства РФ от 01.11.2012 N 1119 ″Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»

·                 Регламентирующие документы ФСТЭК России и ФСБ России об обеспечении безопасности персональных данных:

o     Приказ ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

o     «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (утв. ФСТЭК РФ 14 февраля 2008 г.);

o     «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (Выписка) (утв. ФСТЭК РФ 15 февраля 2008 г.);

o     Приказ ФСТЭК России от 18.02.2013 N 21″Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»

·            Лицензия на осуществление медицинской деятельности;

·            Устав учреждения;

1.3 Целью настоящего Положения является определение порядка обработки персональных данных пациентов Учреждения-оператора, согласно Перечня персональных данных, указанных в разделе 3 настоящего Положения; обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным пациентов, за невыполнение требований и норм, регулирующих обработку и защиту персональных данных.

1.4 Персональные данные пациентов относятся к категории конфиденциальной информации. Конфиденциальность, сохранность и защита персональных данных обеспечиваются отнесением их к сфере негосударственной (служебной, профессиональной) тайны.

2. Основные понятия, используемые в настоящем Положении

Для целей настоящего Положения применяются следующие термины и определения:

Оператор – Учреждение-оператор самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Пациенты (субъекты персональных данных) — физические лица, обратившиеся к Учреждению-оператору с целью получения медицинского обслуживания, либо состоящие в иных гражданско-правовых отношениях с Учреждением-оператором по вопросам получения медицинских услуг.

Врачебная тайна — соблюдение конфиденциальности информации о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иных сведений, полученных при его обследовании и лечении.

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Документы, содержащие персональные данные пациента — документы, необходимые для осуществления действий в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг, а также для оформления договорных отношений.

Обработка персональных данных пациента — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных пациента.

Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.

Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.

Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).

Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.

Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.

Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.

Конфиденциальность персональных данных — операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законодательством.

Несанкционированный доступ (несанкционированные действия) — доступ к информации или действия с информацией, нарушающие правила разграничения доступа, в том числе с использованием штатных средств, предоставляемых информационными системами персональных данных.

Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с Федеральным законодательством не распространяется требование соблюдения конфиденциальности.

Лица, допущенные к персональным данным – работники учреждения, которые в силу своих должностных обязанностей либо занимаемой должности осуществляют обработку персональных данных, либо совершающие действия (операции) с персональными данными.

3. Перечень персональных данных

В состав обрабатываемых в Учреждение-оператора персональных данных пациентов могут входить:

· ФИО;

· Пол;

· Дата рождения;

· Место рождения;

· Адрес прописки (жительства, пребывания);

· Документ, удостоверяющий личность;

· Реквизиты полис ОМС

· Данные СНИЛС;

· Данные о состоянии здоровья (история болезни);

· Данные о месте работы и занимаемой должности;

· другая информация, необходимая для правильного проведения и медицинских исследований;

· результаты выполненных медицинских исследований;

Учреждение-оператор осуществляет обработку данных о состоянии здоровья пациентов в целях оказания медицинских услуг, установления медицинского диагноза при этом обработка персональных данных осуществляется лицами, профессионально занимающимися медицинской деятельностью и обязанными в соответствии с законодательством Российской Федерации сохранять врачебную тайну.

4. Лица, допущенные к персональным данным.

Доступ к персональным данным пациентов имеют работники Учреждения-оператора: главный врач, заместители главного врача, главный бухгалтер; заведующие всех подразделений; врачи; средний медицинский персонал; работники регистратуры, статисты; юристы; работники отдела кадров; работники экономического отдела; работники бухгалтерии, системные администраторы и иные лица в силу своих должностных обязанностей.

5. Случаи, когда для обработки персональных данных не требуется согласия субъекта персональных данных

5.1. Обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора;

5.2. Обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных;

5.3. Обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

5.4. Обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

5.5. Обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услугами связи.

6. Общие принципы и условия обработки персональных данных пациентов

6.1. Обработка персональных данных пациента осуществляется на основе принципов:

1.    Обработка персональных данных должна осуществляться на законной и справедливой основе.

2.    Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

3.    Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4.    Обработке подлежат только персональные данные, которые отвечают целям их обработки.