Обработка персональных данных

Положение об организации обработки персональных данных

Общие положения

Настоящим Положением определяется порядок получения, обработки, хранения, передачи и любого другого использования персональных данных субъектов Республиканское государственное бюджетное лечебно-профилактическое учреждение далее - РГБЛПУ «РДМБ» (работников и пациентов), а также ведения их личных дел, медицинских карт.

Цель настоящего Положения – обеспечение в соответствии с законодательством Российской Федерации обработки, хранения и защиты персональных данных работников, пациентов, а также персональных данных, содержащихся в документах, полученных из других организаций, в обращениях граждан и иных субъектов персональных данных.

Настоящее Положение разработано в соответствии с Конституцией РФ, Трудовым кодексом РФ, Федеральным законом от 27.07.06г. № 152-ФЗ «О персональных данных» (в ред. от 27.07.2010г. № 204-ФЗ), Федеральным законом от 27.07.06г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 29.07.04г. №98-ФЗ «О коммерческой тайне», Федеральным законом от 22.10.04г. № 125-ФЗ «Об архивном деле в Российской Федерации», указанием Федерального агентства по образованию от 22.10. 09г. №17-187 «Об обеспечении защиты персональных данных», Федеральным законом РФ от 22.07.1993г. № 5487-1 «Основы законодательства Российской Федерации об охране здоровья граждан (в ред. от 28.09.2010г. № 243-ФЗ)»,  Положений Федерального закона от 07.02.2017 № 13-ФЗ

Целями обработки персональных данных (далее - ПДн) в РГБЛПУ «РДМБ» являются:

оказание медицинской помощи населению (экстренной, неотложной, консультативной, диагностической, профилактической, лечебной);

реализация Программы государственных гарантий оказания гражданам бесплатной медицинской помощи, в том числе государственной политики в области обязательного медицинского страхования граждан и ДМС, реализации приоритетных национальных проектов и целевых программ по отрасли здравоохранения;

обеспечение отдельных категорий граждан необходимыми лекарственными средствами;

ведение учета пациентов;

ведение персонифицированного учета медицинской помощи, оказанной в условиях стационара, и амбулаторно-поликлинической медицинской помощи; проведение медицинских обследований, формирование заключений по их результатам; оформление медицинской документации;

расчет стоимости оказываемых платных медицинских услуг;

учет договоров на оказание платных медицинских услуг;

ведение бюджетного учета;

ведение регистров медицинских работников;

осуществление расчета, начисления и зачисления заработной платы;

выполнение трудового законодательства и кадровая работа;

формирование и предоставление в установленные сроки необходимой отчетности в соответствии с законодательством Российской Федерации.

РГБЛПУ «РДМБ» осуществляет обработку персональных данных следующих категорий субъектов персональных данных:

работники РГБЛПУ «РДМБ»;

пациенты РГБЛПУ «РДМБ».

В настоящем Положении используются следующие термины и определения:

Оператор персональных данных (далее оператор) - государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных.

Субъект персональных данных – далее субъект. Безопасность персональных данных достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий.

Персональные данные (ПД) – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПД), в том числе: фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, определяемая нормативно-правовыми актами Российской Федерации в области трудовых отношений и здравоохранения, Положением об обработке и защите персональных данных и приказами организации.

Обработка персональных данных – действия (операции) с персональными данными, включая систематизацию, накопление, хранение, комбинирование, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.

Защита персональных данных – деятельность уполномоченных лиц по обеспечению с помощью локального регулирования порядка обработки персональных данных и обеспечение организационно-технических мер защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения.

Конфиденциальная информация – это информация (в документированном или электронном виде), доступ к которой ограничивается в соответствии с законодательством РФ.

Распространение персональных данных - действия, направленные на передачу персональных данных определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом.

Использование персональных данных - действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

Блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных, в том числе их передачи.

Уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.

Сбор и обработка персональных данных субъектов персональных данных

Условиями сбора и обработки специальных категорий персональных данных, касающихся состояния здоровья и интимной жизни, допускается только в следующих случаях:

субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных;

персональные данные сделаны общедоступными субъектом персональных данных;

обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;

обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;

В целях обеспечения прав и свобод человека и гражданина оператор и его представители при обработке персональных данных субъекта обязаны соблюдать следующие общие требования:

обработка персональных данных субъекта может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, оказания медицинской помощи населению (экстренной, неотложной, консультативной, диагностической, профилактической, лечебной); содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности, количества и качества выполняемой работы сотрудника медицинского учреждения;

обработка персональных данных может осуществляться для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

при определении объема и содержания, обрабатываемых персональных данных пациента РГБЛПУ «РДМБ» должно руководствоваться Конституцией Российской Федерации, Федеральным законом № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», законодательством РФ в сфере защиты персональных данных и обработки информации, и иными Федеральными законами и локальными нормативными актами в области защиты персональных данных;

информация о персональных данных работников предоставляется РГБЛПУ «РДМБ» устно, а также путем передачи оригиналов или копий документов (паспорт, трудовая книжка, военный билет, диплом, ИНН, СНИЛС и другие документы);

все персональные данные пациента следует получать у него самого или его полномочного представителя. Если персональные данные пациента, возможно, получить только у третьей стороны, то пациент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие;

РГБЛПУ «РДМБ» не имеет права получать и обрабатывать персональные данные субъекта, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений;

РГБЛПУ «РДМБ» не имеет права получать и обрабатывать персональные данные субъекта о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральными законами;

при принятии решений, затрагивающих интересы субъекта, оператор не имеет права основываться на персональных данных субъекта, полученных исключительно в результате их автоматизированной обработки или электронного получения.

При поступлении на работу работник представляет сотрудникам отдела кадров следующие документы, содержащие персональные данные о себе:

паспорт или иной документ, удостоверяющий личность;

трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства;

страховое свидетельство государственного пенсионного страхования;

свидетельство о регистрации индивидуального налогового номера (ИНН);

документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу;

документ об образовании, о квалификации или наличии специальных знаний - при поступлении на работу, требующую специальных знаний или специальной подготовки.

При приеме к врачу пациент представляет следующие документы, содержащие персональные данные о себе:

Паспорт или иной документ, удостоверяющий личность, гражданство;

полис ОМС;

информацию о состоянии здоровья, анамнезе;

в отдельных случаях с учетом специфики обследования в учреждении здравоохранения действующим законодательством РФ может предусматриваться необходимость предъявления дополнительных документов.

Хранение и защита персональных данных работников

Персональные данные работников хранятся на бумажных носителях в помещении отдела кадров (регистратуре). Для этого используются специально оборудованные шкафы и сейфы. Личные дела уволенных (прошедших обследование, лечение) субъектов хранятся в архиве МБУЗ «ЧГДБ» .

Конкретные обязанности по ведению, хранению личных дел работников, заполнению, хранению и выдаче трудовых книжек, иных документов, отражающих персональные данные субъектов, возлагается на работников отдела кадров, а по хранению личных дел уволенных субъектов – на работников архива и закрепляются в должностных инструкциях.

Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.

Порядок хранения и использования персональных данных пациентов

Информация персонального характера пациента должна обрабатываться с соблюдением требований российского законодательства о защите персональных данных.

Доступ к персональным данным пациентов имеют работники РГБЛПУ «РДМБ», допущенные к работе с персональными данными работников приказом главного врача РГБЛПУ «РДМБ». В должностные инструкции данных работников включается пункт об обязанности сохранения врачебной тайны.

Обработка персональных данных пациентов осуществляется смешанным путем:

Неавтоматизированным способом обработки персональных данных;

Автоматизированным способом обработки персональных данных (с помощью ПЭВМ и специальных программных продуктов).

Персональные данные пациентов преимущественно хранятся на бумажных носителях.

Основным документом, содержащим персональные данные пациента, является медицинская карта амбулаторного больного и история болезни стационарного больного.

Медицинская карта амбулаторного больного заводится на каждого обратившегося в поликлинику за оказанием медицинском помощи при первом обращении и хранится в регистратуре поликлиники. Медицинская карта передается врачам-специалистам поликлиники при личном обращении пациента в поликлинику, по окончании приема медицинская карта сдается медсестрой врача-специалиста в регистратуру поликлиники.

История болезни стационарного больного заводится при каждой госпитализации пациента в стационарные отделения. После выписки пациента из стационарного отделения история болезни подлежит передачи в архив.

Журналы и другие формы медицинской документации, содержащие персональные данные пациентов, оформляются и хранятся в подразделениях РГБЛПУ «РДМБ» в соответствии с требованиями действующих приказов.

Прочие документы, используемые при оказании медицинской помощи и содержащие персональные данные пациентов (акты, направления, договоры, квитанции и пр.), после оформления передаются работнику, допущенному к работе с персональными данными, в должностные обязанности которого входит обработка этих данных.

Хранение оконченных производством документов, содержащих персональные данные пациентов, осуществляется в архиве РГБЛПУ «РДМБ» .

Регламент работы с медицинской документацией утверждён приказом главного врача РГБЛПУ «РДМБ».

Персональные данные пациентов также хранятся в виде электронной медицинской карты, хранящей всю информацию о пациентах. Электронные медицинские карты хранятся локально на сервере РГБЛПУ «РДМБ».

Возможна передача персональных данных пациентов по внутренней сети организации с использованием технических и программных средств защиты информации, с доступом только для работников РГБЛПУ «РДМБ», допущенных к работе с персональными данными работников приказом главного врача РГБЛПУ «РДМБ» и только в объеме, необходимом данным работникам для выполнения своих должностных обязанностей.

РГБЛПУ «РДМБ» пользуется услугами вневедомственной охраны, и здания находятся под его охраной. Также здания снабжены пожарной сигнализацией.

Хранение персональных данных пациентов осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.

Хранение документов, содержащих персональные данные пациентов, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. По истечении установленных сроков хранения документы подлежат уничтожению в порядке, предусмотренном приказами по архивному делу.

Защита персональных данных

Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;

соблюдение конфиденциальности информации ограниченного доступа;

реализацию права на доступ к информации.

Для обеспечения безопасности персональных данных при неавтоматизированной обработке предпринимаются следующие меры:

все действия по обработке персональных данных осуществляются только работниками РГБЛПУ «РДМБ», допущенными приказом главного врача к работе с персональными данными, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции;

обработка персональных данных осуществляется с соблюдением порядка, предусмотренного Постановлением Правительства от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

Для обеспечения безопасности персональных данных пациентов при автоматизированной обработке предпринимаются следующие меры:

персональные компьютеры, с которых осуществляется доступ к персональным данным, защищены паролями доступа. Пароли устанавливаются администратором и сообщаются индивидуально работнику, допущенному к работе с персональными данными и осуществляющему обработку персональных данных пациентов на данном ПК;

обработка персональных данных осуществляется с соблюдением порядка, предусмотренного Постановлением Правительства от 01.11. 2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».

Передача персональных данных субъектов ПД

При передаче персональных данных субъектов сотрудники РГБЛПУ«РДМБ», имеющие доступ к персональным данным, должны соблюдать следующие требования:

Не сообщать персональные данные субъекта третьей стороне без письменного согласия работника субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в других случаях, предусмотренных Трудовым кодексом РФ или иными федеральными законами.

Не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия.

Предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

Разрешать доступ к персональным данным субъектов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные субъектов, которые необходимы для выполнения конкретных функций.

Передавать персональные данные работника представителю работника в порядке, установленном Трудовым кодексом РФ и настоящим Положением, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанным представителем его функций.

Передача персональных данных пациентов третьим лицам осуществляется только с письменного согласия пациента, с подтверждающей визой главного врача РГБЛПУ «РДМБ», за исключением случаев, предусмотренных статьей 13 ФЗ № 323:

в целях проведения медицинского обследования и лечения гражданина, который в результате своего состояния не способен выразить свою волю, с учётом положений пункта 1 части 9 статьи 20 указанного Федерального закона;

при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;

по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля за поведением условно осужденного, осужденного, в отношении которого отбывание наказания отсрочено, и лица, освобожденного условно-досрочно;

в случае оказания медицинской помощи несовершеннолетнему в соответствии с пунктом 2 части 2 статьи 20 указанного Федерального закона, а также несовершеннолетнему, не достигшему возраста, установленного частью 2 статьи 54 указанного Федерального закона, для информирования одного из его родителей или иного законного представителя;

в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинён в результате противоправных действий;

в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов, кадровых служб и военно-врачебных (врачебно-летных) комиссий федеральных органов исполнительной власти, в которых федеральным законом предусмотрена военная и приравненная к ней служба;

в целях расследования несчастного случая на производстве и профессионального заболевания;

при обмене информацией медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства Российской Федерации о персональных данных;

в целях осуществления учета и контроля в системе обязательного социального страхования;

в целях осуществления контроля качества и безопасности медицинской деятельности в соответствии с указанным Федеральным законом.

Лица, которым в установленном законом порядке переданы сведения, составляющие врачебную тайну, наравне с медицинскими и фармацевтическими работниками несут ответственность за разглашение врачебной тайны дисциплинарную, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.

В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом на получение персональных данных пациента, либо отсутствует письменное согласие пациента на предоставление его персональных данных, РГБЛПУ «РДМБ» обязано отказать в предоставлении персональных данных. В данном случае лицу, обратившемуся с запросом, выдаётся мотивированный отказ в предоставлении персональных данных в письменной форме, копия отказа хранится в РГБЛПУ «РДМБ».

В целях выполнения необходимых условий для реализации конституционных прав граждан на охрану здоровья, получение медицинской помощи, лекарственного обеспечения, профилактики инвалидности и медицинской реабилитации инвалидов, оказания медицинской и профилактической помощи населению, санаторно-курортного лечения возможна передача персональных данных пациентов при наличии письменного согласия пациента, в уполномоченные региональные и федеральные органы исполнительной власти по отрасли здравоохранения и социального развития, федеральные и региональные Фонды, страховые медицинские организации, другие медицинские и фармацевтические организации, участвующие в реализации Программы государственных гарантий оказания гражданам бесплатной медицинской помощи, в том числе государственной политики в области обязательного медицинского страхования граждан, реализации приоритетных национальных проектов и целевых программ по отрасли здравоохранения, обеспечении отдельных категорий граждан необходимыми лекарственными средствами, а также работодателю – в случаях проведения профилактических медицинских осмотров в соответствии с законодательством.

Передача указанных сведений и документов осуществляется с согласия пациента. Согласие пациента оформляется письменно в виде отдельного документа. После получения согласия пациента дальнейшая передача указанных сведений и документов данных лиц дополнительного письменного согласия не требует.

Права субъектов в целях защиты персональных данных

В целях обеспечения защиты персональных данных, хранящихся у оператора, субъекты имеют право на:

полную и безвозмездную информацию об их персональных данных и обработке этих данных;

свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные субъекта, за исключением случаев, предусмотренных федеральным законом;

определение своих представителей для защиты своих персональных данных;

требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Трудового кодекса РФ или иного федерального закона. При отказе оператора исключить или исправить персональные данные субъекта он имеет право заявить в письменной форме оператору о своем несогласии с соответствующим обоснованием такого несогласия. Персональные данные оценочного характера субъект имеет право дополнить заявлением, выражающим его собственную точку зрения;

требование об извещении оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта, обо всех произведенных в них исключениях, исправлениях или дополнениях;

обжалование в суд любых неправомерных действий или бездействия оператора при обработке и защите его персональных данных.

Ответственность за нарушение норм, регулирующих получение, обработку и защиту персональных данных субъекта

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта, привлекаются к ответственности в порядке, установленном Трудовым кодексом РФ и иными федеральными законами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

Контактная информация

Ответственным за организацию обработки персональных данных в РГБЛПУ «Республиканская детская многопрофильная больница» назначен зам. главного врача оргметод работе - Гукятова Тамара Хаутиевна

Контактная информация: тел.: (8782) 20-40-79;

адрес: РФ, 369010, КЧР, г. Черкесск, ул. Грибоедова 77а

e-mail:  gordetbol@mail.ru

Уполномоченным органом по защите прав субъектов персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор), управление по Карачаево-Черкесской Республике.

Контактная информация:

тел.: (8782) 28-16-25;

адрес: ул. Кавказская, д.19, 5 этаж, г. Черкесск, 369000;

e-mail: rsockanc09@rkn.gov.ru;

официальный сайт в сети Интернет: http://09.rkn.gov.ru