1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение об обработке и защите персональных данных пациентов (далее – Положение) является локальным нормативным актом ООО «Бьюти Лайн» (далее – Общество, Оператор) и разработано на основании ст. 24 Конституции РФ, Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Федерального закона Российской Федерации от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»; Постановления Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановления Правительства от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Постановления Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»; Указа Президента РФ от 06 марта 1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера» и иных нормативных актов, действующих на территории Российской Федерации в области персональных данных.
1.2. Положение определяет порядок обработки и защиты персональных данных пациентов ООО «Бьюти Лайн».
1.3. Персональные данные пациентов относятся к категории конфиденциальной информации, в силу требований законодательства, отнесенных к врачебной тайне.
1.4. В настоящем Положении используются следующие термины и определения:
ООО «Бьюти Лайн» — юридическое лицо, осуществляющее деятельность по оказанию платных медицинских услуг гражданам в соответствии с лицензией на осуществление медицинской деятельности № Л041-01108-38/00348492 от 06.08.2018 г. на основании договоров на оказание платных медицинских услуг и для этого совершающее сбор, хранение, накопление, уточнение, блокирование, удаление и передачу персональных данных пациентов.
Оператор – юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными. В настоящем Положении Оператором выступает ООО «Бьюти Лайн».
Пациент — физическое лицо, обратившиеся к Обществу с целью получения платных медицинских услуг на основании договора об оказании платных медицинских услуг, либо состоящие в иных гражданско-правовых отношениях с Обществом по вопросам получения платных медицинских услуг.
Персональные данные пациента – информация, касающаяся конкретного пациента, необходимая для надлежащего исполнения договорных обязательств по оказанию пациенту платных медицинских услуг.
Обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Защита персональных данных пациента — деятельность Общества по обеспечению безопасности персональных данных с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер конфиденциальности информации.
Конфиденциальность персональных данных — обязательное для соблюдения лицом, получившим доступ к персональным данным, требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
Врачебная тайна – соблюдение конфиденциальности информации о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иных сведений, полученных при его обследовании и лечении.
Остальные термины и определения по используются в соответствии с их значениями, определенными в Федеральном законе от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных).
1.5. В Положении устанавливаются:
— цель, порядок и условия обработки персональных данных пациентов;
— категории субъектов, персональные данные которых обрабатываются, категории (перечни) обрабатываемых персональных данных, способы, сроки их обработки и хранения, порядок уничтожения таких данных при достижении целей обработки или при наступлении иных законных оснований;
— положения, касающиеся защиты персональных данных, процедуры, направленные на выявление и предотвращение нарушений законодательства РФ в области персональных данных, а также на устранение последствий таких нарушений.
1.6. Действие настоящего Положения распространяется на всех пациентов, обратившихся за оказанием платной медицинской помощи в ООО «Бьюти Лайн».
2. ЦЕЛИ, ПОРЯДОК И СПОСОБЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ. СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕНТОВ
2.1. Персональные данные пациентов обрабатываются Обществом с целью:
— заключения и исполнения договоров оказания платных медицинских услуг;
— установления медицинского диагноза пациенту;
— оказания пациенту качественных платных медицинских услуг в необходимых объемах;
— проведения лечебно-профилактических мероприятий;
— ведения и обработки медицинских карточек пациентов;
— предоставления пациенту или его законному представителю информации о состоянии здоровья, представления выписок и справок;
— соблюдения требований действующего законодательства, иных нормативных правовых актов;
— обеспечения контроля объемов и качества оказанных платных медицинских услуг;
— поддержания контактов с пациентом и/или его законным представителем.
2.2. Персональные данные пациентов относятся к специальной категории персональных данных, обработка таких персональных данных должна осуществляться лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну.
Персональные данные пациентов являются конфиденциальными сведениями. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении срока хранения, если иное не определено законодательством Российской Федерации.
2.3. В состав обрабатываемых Обществом персональных данных пациентов могут входить:
— фамилия, имя, отчество (последнее – при наличии);
— пол;
— дата, место рождения;
— паспортные данные;
— адрес проживания;
— номер телефона, адрес электронной почты (по желанию);
— вес, рост;
— информация о состоянии здоровья;
— результаты выполненных медицинских исследований и манипуляций;
-другая информация, необходимая для правильного проведения и интерпретации медицинских исследований и оказания качественных медицинских услуг.
2.4. При обращении в Общество за оказанием платных медицинских услуг пациент представляет следующие документы, содержащие персональные данные о себе:
— паспорт или иной документ, удостоверяющий личность, гражданство;
— результаты медицинских исследований;
— в отдельных случаях с учетом специфики оказываемых медицинских услуг может предусматриваться необходимость предъявления дополнительных документов.
2.5. Все персональные данные пациента получаются от него самого. Пациент принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных даётся в письменной форме и должно быть предметным, информированным, сознательным и однозначным.
2.6. В случае получения согласия на обработку персональных данных от представителя пациента, полномочия данного представителя на дачу согласия от субъекта персональных данных проверяются Обществом.
2.7. Согласие пациента на обработку его персональных данных должно храниться вместе с его иной медицинской документацией.
2.8. Письменное согласие пациента на обработку своих персональных данных должно включать в себя:
— фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
— фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
— наименование или фамилию, имя отчество и адрес оператора, получающего согласие субъекта персональных данных;
— цель обработки персональных данных;
— наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
— перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
— перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
— срок, в течение которого действует согласие, а также способ его отзыва;
— подпись субъекта персональных данных.
2.9. Согласие на обработку персональных данных может быть отозвано пациентом.
2.10. Персональные данные пациентов могут быть получены Обществом от лица, не являющегося субъектом персональных данных, при условии предоставления Обществу подтверждения наличия оснований, указанных в пунктах 2 — 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Закона о персональных данных.
2.11. При получении персональных данных не от пациента Общество до начала обработки таких персональных данных обязано предоставить пациенту следующую информацию:
— наименование и адрес места нахождения оператора;
— цель обработки персональных данных и ее правовое основание;
— предполагаемые пользователи персональных данных;
— установленные законодательством права субъекта персональных данных.
2.12. В случае недееспособности пациента согласие на обработку его персональных данных дает его законный представитель.
2.13. Обработка персональных данных в Обществе выполняется следующими способами:
— неавтоматизированная обработка персональных данных;
— автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
— смешанная обработка персональных данных.
2.14. Обработка персональных данных осуществляется путем сбора, записи, систематизации, накопления, хранения, уточнения (обновления, изменения), извлечения, использования, обезличивания, блокирования, удаления, уничтожения персональных данных, в том числе с помощью средств вычислительной техники.
2.15. Передача (распространение, предоставление, доступ) персональных данных пациентов осуществляется в случаях и в порядке, предусмотренных законодательством в области персональных данных и настоящим Положением.
2.16. При передаче персональных данных пациентов Общество должно соблюдать следующие требования:
2.16.1. Персональные данные передаются третьим лицам в случаях, поименованных в законодательстве и настоящем Положении, а также в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровью пациента.
2.16.2. Не сообщать персональные данные пациента в коммерческих целях без его письменного согласия.
2.16.3. Предупредить лиц, получивших персональные данные пациента о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено.
2.17. Предоставление сведений о факте обращения пациента за оказанием медицинской помощи, сведений о состоянии его здоровья и диагнозе, иных сведений, полученных при его медицинском обследовании и лечении (врачебная тайна), без согласия гражданина или его законного представителя допускается:
2.17.1. в целях проведения медицинского обследования и лечения пациента, который в результате своего состояния не способен выразить свою волю, если медицинское вмешательство необходимо по экстренным показаниям для устранения угрозы жизни человека и, если его состояние не позволяет выразить свою волю или отсутствуют его законные представители.
2.17.2. при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
2.17.3. по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля за поведением условно осужденного, осужденного, в отношении которого отбывание наказания отсрочено, и лица, освобожденного условно-досрочно;
2.17.4. в случае оказания медицинской помощи несовершеннолетнему в соответствии с пунктом 2 части 2 статьи 20 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ», а также несовершеннолетнему, не достигшему возраста, установленного частью 2 статьи 54 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ», для информирования одного из его родителей или иного законного представителя;
2.17.5. в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий;
2.17.6. в целях осуществления контроля качества и безопасности медицинской деятельности в соответствии с Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ».
3. ХРАНЕНИЕ И НАКОПЛЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕНТОВ
3.1. Персональные данные пациентов хранятся и обрабатываются с соблюдением требований действующего Российского законодательства о защите персональных данных.
3.2. Порядок хранения документов, содержащих персональные данные пациентов, определяется в соответствии с требованиями действующего законодательства.
3.3. Персональные данные пациентов хранятся на бумажных носителях и в электронном виде.
3.4. Хранение содержащих персональные данные пациентов и оконченных производством документов, содержащих персональные данные, осуществляется в отдельном кабинете, закрывающемся на ключ, оборудованным системой охранной сигнализации.
3.5. Возможна передача персональных данных пациентов по внутренней локальной сети Общества с использованием технических и программных средств защиты информации, с доступом только для работников Общества, допущенных к работе с персональными данными пациентов и только в объеме, необходимом данным работникам для выполнения своих должностных обязанностей.
3.6. Хранение персональных данных пациентов осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Хранение документов, содержащих персональные данные пациентов, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. По истечении установленных сроков хранения документы подлежат уничтожению.
3.7. Общество обеспечивает ограничение доступа к персональным данным пациентов лицам, не уполномоченным Федеральным законодательством, либо Обществом для получения соответствующих сведений.
3.8. Доступ к персональным данным пациентов имеют только работники Общества, подписавшие обязательство о неразглашение конфиденциальной информации. Персональные данные выдаются в объеме, необходимом для выполнения своих должностных обязанностей.
3.9. Ответственными за организацию и осуществление хранения персональных данных пациентов Общества является руководитель Общества.
3.10. Контроль за обеспечением безопасности персональных данных при их обработке в информационных системах персональных данных в соответствии с требованиями законодательства РФ возлагается на руководителя Общества или лицо, на которого такие обязанности возложены приказом руководителя Общества.
4. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
4.1. Без письменного согласия субъекта персональных данных Общество не раскрывает третьим лицам и не распространяет персональные данные, если иное не предусмотрено федеральным законом и настоящим Положением.
4.1.1. Запрещено раскрытие и распространение персональных данных пациентов по телефону.
4.2. С целью защиты персональных данных в Обществе приказами руководителя назначаются (утверждаются):
— работники, ответственные за организацию обработки персональных данных;
— перечень должностей, при замещении которых обрабатываются персональные данные;
— форма согласия на обработку персональных данных, форма согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения;
— порядок защиты персональных данных при их обработке в информационных системах персональных данных;
— порядок проведения внутренних расследований, проверок;
— иные локальные нормативные акты, принимаемые в соответствии с требованиями законодательства в области персональных данных.
4.3. Работники, которые занимают должности, предусматривающие обработку персональных данных, допускаются к ней после подписания обязательства об их неразглашении. Доступ к персональным данным пациентов имеют только работники Общества, подписавшие обязательство о неразглашение конфиденциальной информации. Персональные данные выдаются в объеме, необходимом для выполнения своих должностных обязанностей.
4.4. Материальные носители персональных данных хранятся в шкафах, запирающихся на ключ. Помещение Общества, в котором они размещаются, оборудуются запирающими устройствами и средствами охранной сигнализации. Выдача ключей от шкафов и помещений осуществляется под подпись.
4.5. Доступ к персональным данным, содержащимся в информационных системах Общества, осуществляется путем разграничения прав доступа работников Общества с использованием учетной записи и системой паролей. Пароли устанавливаются руководителем Общества и сообщаются индивидуально работникам, имеющим доступ к персональным данным пациентов. Смена паролей доступа должна осуществляться не реже одного раза в полгода.
4.5.1. Для каждого работника Общества, работающего с персональными данными, заводится отдельная учетная запись для входа в компьютер. До начала работы работник должен ввести свое имя и пароль, после нескольких неправильных попыток ввода пароля учетная запись работника блокируется. Если система не используется работником на протяжении более, чем десяти минут, вход в учетную запись автоматически блокируется.
4.6. В Обществе используется сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами.
4.7. В Обществе используются лицензионные программные продукты, предотвращающие несанкционированный доступ третьих лиц к персональным данным пациентов.
4.8. В случае обработки персональных данных в информационных системах персональных данных, способы защиты персональных данных устанавливаются в соответствии с Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
4.9. Работники Общества, обрабатывающие персональные данные, периодически проходят обучение требованиям законодательства в области персональных данных.
4.10. В Обществе проводятся внутренние расследования в следующих ситуациях:
— при неправомерной или случайной передаче (предоставлении, распространении, доступе) персональных данных, повлекшей нарушение прав субъектов персональных данных;
— при обнаружении фактов несанкционированного доступа к персональным данным;
— в иных случаях, предусмотренных законодательством в области персональных данных.
5. ПОРЯДОК БЛОКИРОВКИ И УНИЧТОЖЕНИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. Общество блокирует персональные данные пациентов в порядке и на условиях, предусмотренных законодательством в области персональных данных.
5.2. При достижении целей обработки персональных данных или в случае утраты необходимости в достижении этих целей персональные данные уничтожаются либо обезличиваются. Исключение может предусматриваться федеральным законодательством.
5.3. Если пациент обратился в Общество с требованием о прекращении обработки персональных данных, Общество прекращает обработку персональных данных в течение 10 рабочих дней с даты получения требования прекратить обработку или обеспечить ее прекращение. Исключение составляют случаи, предусмотренные п. п. 2 — 11 ч. 1 ст. 6, ч. 2 ст. 10, ч. 2 ст. 11 Закона о персональных данных. Указанный срок может быть продлен в случае направления мотивированного уведомления о причинах такого продления, но не более чем на пять рабочих дней.
5.4. Если субъект персональных данных отозвал согласие на обработку его персональных данных, Общество прекращает их обработку или обеспечивает прекращение такой обработки. Если при этом сохранение персональных данных более не требуется для целей обработки персональных данных, персональные данные подлежат уничтожению в течение 30 дней с даты поступления отзыва на обработку персональных данных.
5.5. Незаконно полученные персональные данные или те, которые не являются необходимыми для цели обработки, уничтожаются в течение 7 (семи) рабочих дней со дня представления субъектом персональных данных (его представителем) подтверждающих сведений.
5.6. Персональные данные, обработка которых прекращена из-за ее неправомерности и правомерность обработки которых невозможно обеспечить, уничтожаются в течение 10 рабочих дней с даты выявления неправомерной обработки.
5.7. Персональные данные уничтожаются в течение 30 дней с даты достижения цели обработки, если иное не предусмотрено договором, стороной которого (выгодоприобретателем или поручителем по которому) является субъект персональных данных, иным соглашением между ним и Обществом либо если Общество не вправе обрабатывать персональные данные без согласия субъекта персональных данных на основаниях, предусмотренных федеральными законами.
5.8. Отбор материальных носителей (документы, жесткие диски, флеш-накопители и т.п.) и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению, осуществляют работники Общества, обрабатывающие персональные данные.
5.9. Уничтожение персональных данных осуществляет комиссия, созданная приказом руководителя Общества.
5.9.1. Комиссия составляет акт с указанием документов, иных материальных носителей и (или) сведений в информационных системах, содержащих персональные данные, которые подлежат уничтожению.
5.9.2. Персональные данные на бумажных носителях уничтожаются с использованием шредера. Персональные данные на электронных носителях уничтожаются путем механического нарушения целостности носителя, не позволяющего считать или восстановить персональные данные, а также путем удаления данных с электронных носителей методами и средствами гарантированного удаления остаточной информации.
5.9.3. Непосредственно после уничтожения персональных данных оформляется акт об их уничтожении. Форма акта утверждается приказом руководителя Общества.
6. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
6.1. К настоящему Положению обеспечивается неограниченный доступ путем его размещения на сайте Общества в сети Интернет по адресу: https://dcmed38.ru/
6.2. Настоящее Положение подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.
6.3. Контроль исполнения требований настоящего Положения осуществляется лицами, ответственными за организацию обработки персональных данных и руководителем Общества.
6.4. Ответственность должностных лиц Общества, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с законодательством Российской Федерации.