Политика в отношении обработки и защиты персональных данных пациентов и работников
Утверждена приказом
по ГАУЗ СО «Ирбитская ЦГБ»
от 11.01.2021 №20
ПОЛИТИКА
в отношении обработки и защиты персональных данных
пациентов и работников государственного автономного учреждения здравоохранения Свердловской области «Ирбитская центральная городская больница»
Общая часть
1. Настоящая Политика определяет принципы, порядок и условия обработки персональных данных пациентов и работников Учреждения-оператора, чьи персональные данные обрабатываются, с целью обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также устанавливает ответственность должностных лиц Оператора, имеющих доступ к персональным данным, за невыполнение норм, регулирующих обработку и защиту персональных данных.
2. Персональные данные являются конфиденциальной, строго охраняемой информацией, и на них распространяются все требования, установленные внутренними документами Оператора, к защите конфиденциальной информации.
3. Основанием для разработки данного локального нормативного акта являются:
- Конституция РФ от 12 декабря 1993 г. (ст. ст. 2, 17-24, 41);
- глава 14 (ст. 86-90) Трудового кодекса РФ;
- часть 1 и 2, часть 4 Гражданского кодекса РФ;
- Федеральный закон Российской Федерации от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
- Федеральный закон Российской Федерации от 21 ноября 2011 г. № 323-ФЗ«Об основах охраны здоровья граждан в Российской Федерации»;
- Федеральный закон Российской Федерации от 29 ноября 2010 г. № 326-ФЗ«Об обязательном медицинском страховании в Российской Федерации»;
- Федеральный закон от 02 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
- Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Указ Президента РФ от 06 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;
- Постановление Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
- Постановление Правительства Российской Федерации от 15 сентября 2008г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановление Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Регламентирующие документы ФСТЭК России и ФСБ России об обеспечении безопасности персональных данных:
- Приказ ФСТЭК № 21 от 18 февраля 2013 г. (в ред. приказов ФСТЭК России от 23.03.2017 №49, от 14.05.2020 №68) «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
Общие принципы и условия обработки персональных данных
пациентов и работников ГАУЗ СО «Ирбитская ЦГБ»
1. Обработка персональных данных пациентов и работников осуществляется на основе принципов:
1) Обработка персональных данных должна осуществляться на законной и справедливой основе, должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
2) Допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
3) Обработке подлежат только персональные данные, которые отвечают целям их обработки.
4) Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
5) При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Учреждение-оператор должно принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных.
6) Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен Федеральным законом от 27.07.2006 № 152-ФЗ. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено Федеральным законодательством.
2. В целях обеспечения прав и свобод человека и гражданина, Учреждение-оператор при обработке персональных данных пациента или работника обязаны соблюдать следующие общие требования:
1) Обработка персональных данных пациента может осуществляться исключительно в медицинских целях, в целях установления диагноза, оказания медицинских услуг, оформления договорных отношений с пациентом, при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну в соответствии с законодательством Российской Федерации в области персональных данных.
2) Обработка персональных данных работников может осуществляться исключительно в целях обеспечения соблюдения законодательства Российской Федерации в области персональных данных и иных нормативных правовых актов с учетом положений Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», оформления трудовых отношений, расчета и выдачи заработной платы или других доходов, налоговых и пенсионных отчислений, содействия работникам в трудоустройстве, обучении, повышении квалификации и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы, обеспечения сохранности имущества работодателя в соответствии с законодательством Российской Федерации в области персональных данных.
3) Все персональные данные пациента следует получать у него самого или у его законного представителя.
Все персональные данные работника работодатель должен получать у него самого.
Если персональные данные пациента или работника, возможно, получить только у третьей стороны, то пациент или работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
4) Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении пациента и работника или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных Федеральным законом от 27.07.2006 № 152-ФЗ.
5) Учреждение-оператор обязано рассмотреть возражение в течение тридцати дней со дня его получения и уведомить пациента и работника о результатах рассмотрения такого возражения.
6) Защита персональных данных пациентов и работников от неправомерного их использования или утраты должна быть обеспечена Учреждением - оператором в порядке, установленном Федеральным законодательством и другими нормативными документами.
7) Работники должны быть ознакомлены под личную подпись с документами Учреждения - оператора, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
Получение персональных данных пациента и работника
1. Получение персональных данных преимущественно осуществляется путем представления их самим пациентом (законным представителем пациента) или работником, на основании его письменного согласия, за исключением случаев, прямо предусмотренных действующим законодательством РФ.
В случаях, предусмотренных Федеральным законодательством, обработка персональных данных осуществляется только с согласия пациента (его законного представителя) и работника в письменной форме. Равнозначным содержащему собственноручную подпись пациента и работника согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с Федеральным законом от 27.07.2006 №152-ФЗ электронной подписью.
2. Под персональными данными работников, связанных с реализацией трудовых отношений, понимается:
• фамилия, имя, отчество; адрес проживания и прописки;
• телефон;
• семейное положение;
• иные паспортные данные;
• ИНН;
• персональные данные, содержащиеся в письменном заявлении о принятии на работу;
• копии паспорта и свидетельства о государственной регистрации актов гражданского состояния;
• копии трудовой книжки;
• копии документов о профессиональном образовании, профессиональной
переподготовке, повышении квалификации, стажировке, присвоении ученой степени, ученого звания (если таковые имеются);
• копии решений о награждении государственными наградами Российской Федерации, Почетной грамотой Президента Российской Федерации, об объявлении благодарности Президента Российской Федерации, присвоении почетных, воинских и специальных званий, присуждении государственных премий (если таковые имеются); копии документов воинского учета (для военнообязанных и лиц, подлежащих призыву на военную службу);
• копии страхового свидетельства обязательного пенсионного страхования;
• копии свидетельства о постановке на учет в налоговом органе физического лица по месту жительства на территории Российской Федерации;
• копии страхового медицинского полиса обязательного медицинского страхования граждан;
• медицинское заключение установленной формы об отсутствии у гражданина заболевания, препятствующего поступлению на гражданскую службу или ее прохождению;
3. Под персональными данными пациентов понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу, в том числе:
• фамилия, имя, отчество,
• пол,
• год, месяц, дата и место рождения,
• адрес места жительства и регистрации,
• контактные телефоны,
• реквизиты полиса ОМС (ДМС),
• паспортные данные,
• данные о состоянии здоровья, заболеваниях,
• случаи обращения за медицинской помощью,
• данные о составе семьи,
• прочие сведения, которые могут идентифицировать человека.
Персональные данные пациентов относятся к специальной категории персональных данных. Обработка таких персональных данных должна осуществляться лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну. Персональные данные пациентов являются конфиденциальными сведениями
Согласно законодательству, обработка специальных категорий персональных данных пациентов должна осуществляться с письменного согласия субъекта персональных данных или его законного представителя (ст. 6, 9, 10 Закона № 152-ФЗ, ч. 3 ст. 13 Закона № 323-ФЗ).
Предоставление сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя допускается (ч. 4 ст. 13 ФЗ № 323-ФЗ):
- если пациент в результате своего состояния не способен выразить свою волю, но ему необходимо лечение;
- при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
-по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органов прокуратуры в связи с осуществлением ими прокурорского надзора, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля за поведением условно
осужденного, осужденного, в отношении которого отбывание наказания отсрочено, и лица, освобожденного условно-досрочно;
- в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий.
Персональные данные пациента могут быть предоставлены его законному представителю, а также родственникам или членам его семьи, иным представителям только с письменного разрешения самого пациента либо его законного представителя.
Оператор и иные лица, получившие доступ к персональным данным пациентов, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Хранение персональных данных пациентов осуществляется в форме, позволяющей их идентифицировать и должно происходить в порядке, исключающим их утрату или их неправомерное использование.
Срок хранения персональных данных пациентов определяется целью обработки персональных данных. По истечению срока хранения или утраты цели обработки персональные данные подлежат уничтожению, обезличиванию или передаче в архив.
Меры по обеспечению защиты персональных данных
Субъекты персональных данных - работники медицинской организации и пациенты (их законные представители), передавая сведения о себе, вправе рассчитывать на соблюдение конфиденциальности при использовании данной информации в медицинской организации. Это подразумевает не только применение технических средств защиты (специальные сертифицированные программные и технические средства защиты информации), но и проведение комплекса организационных мероприятий, направленных на предотвращение потери, искажения и несанкционированного доступа к персональным данным, а именно:
1. назначены лица, ответственные за организацию обработки и обеспечение безопасности персональных данных;
2. разработано и внедрено Положение о защите персональных данных работников и пациентов;
3. лица, ведущие обработку персональных данных работников/пациентов, проинструктированы и ознакомлены с нормативными правовыми актами, регламентирующими порядок работы и защиты персональных данных;
4. в целях осуществления внутреннего контроля соответствия обработки персональных данных, установленным требованиям, проводятся периодические проверки условий обработки персональных данных;
5. иные необходимые меры безопасности.
Гарантии конфиденциальности
1. Информация, относящаяся к персональным данным, ставшая известной в связи с реализацией трудовых отношений, является конфиденциальной информацией и охраняется законом.
2. Работники и иные лица, получившие доступ к обрабатываемым персональным данным, предупреждены о возможной дисциплинарной, административной, гражданско-правовой или уголовной ответственности в случае нарушения норм и требований действующего законодательства, регулирующего правила обработки и защиты персональных данных.
Заключительные положения
1. Настоящая Политика вступает в силу с даты его утверждения Приказом главного врача.
2. В обязанности отдела кадров учреждения, входит ознакомление с настоящей Политикой всех работников, принимаемых на работу до подписания трудового договора, под личную подпись.
3. В обязанности работников, осуществляющих первичный сбор персональных данных пациента, входит получение согласия пациента (его законного представителя) на обработку его персональных данных, под личную подпись.
4. Политику в отношении обработки и защиты персональных данных опубликовать на сайте учреждения для ознакомления всем заинтересованным субъектам персональных данных.
5. В случае внесения в настоящую Политику существенных изменений, к ним будет обеспечен неограниченный доступ всем заинтересованным субъектам персональных данных.