УТВЕРЖДАЮ
Директор ООО ДАША»
_________________ Д.Д. Мамаева
01 декабря 2016 г.
ПОЛОЖЕНИЕ
об обработке и защите персональных данных в ООО «ДАША»
г. Волжский, 2016 г.
ОСНОВНЫЕ ПОНЯТИЯ ПЕРСОНАЛЬНЫХ ДАННЫХ
Для целей настоящего Положения используются следующие основные понятия:
персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).
оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
обработка персональных данных – любое действия (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
врачебная тайна – соблюдение конфиденциальности информации о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иных сведений, полученных при его обследовании и лечении;
документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель;
документы, содержащие персональные сведения пациента – формы медицинской и иной учетно-отчетной документации, включающие сведения о персональных данных;
информация – сведения (сообщения, данные) независимо от формы их представления;
конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения и не раскрывать третьим лицам персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
пациент – физическое лицо (субъект), обратившееся в ООО «ДАША» с целью получения медицинских услуг.
работник – физическое лицо, вступившее в трудовые отношения с работодателем ООО «ДАША».
соискатель вакантной должности ООО «ДАША» – лицо ищущее работу.
субъекты персональных данных – работники, пациенты и соискатели вакантных должностей ООО «ДАША».
ПЕРСОНАЛЬНЫЕ ДАННЫЕ ПАЦИЕНТОВ ООО «ДАША»
Состав персональных данных пациентов ООО «ДАША».
В состав персональных данных пациентов ООО «ДАША» входят:
— фамилия, имя, отчество (последнее – при наличии),
— пол,
— дата рождения,
— данные документа, удостоверяющего личность,
— место жительства,
— место регистрации,
— номер контактного телефона,
— номер полиса обязательного или добровольного медицинского страхования застрахованного лица (при наличии),
— анамнез,
— диагноз,
— сведения об организации, оказавшей медицинские услуги,
— сведения об оказанных медицинских услугах,
— серия и номер выданного листка нетрудоспособности (при наличии),
— сведения о медицинских работниках, оказавших медицинскую услугу,
— иные данные, позволяющие безошибочно определить субъекта персональных данных.
7.2. Организация обработки персональных данных пациентов ООО «ДАША».
7.2.1. В ООО «ДАША» смешанная обработка персональных данных пациентов (неавтоматизированная и автоматизированная).
Действия с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), блокирование, удаление, уничтожение.
7.2.2. Обработка персональных данных пациента осуществляется на основании представленного пациентом письменного согласия на обработку персональных данных (Приложение №2 к настоящему положению), за исключением случаев прямо предусмотренных в пп. 2-11 части 1 ст.6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных».
В случае недееспособности пациента или не достижения пациентом возраста 15 лет согласие на обработку его персональных данных дает в письменной форме его законный представитель.
7.2.3. При приеме к врачу пациент представляет следующие документы, содержащие персональные данные о себе:
— паспорт или иной документ, удостоверяющий личность;
— в отдельных случаях действующим законодательством РФ может предусматриваться необходимость предъявления дополнительных документов.
7.2.4. Все персональные данные пациента следует получать у него самого или его законного представителя. Пациент или его законный представитель предоставляет оператору персональные данные, которые оператор указывает в медицинских документах.
При получении персональных данных не от пациента оператор до начала обработки таких персональных данных обязан предоставить пациенту следующую информацию:
— наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
— цель обработки персональных данных и ее правовое основание;
— предполагаемые пользователи персональных данных;
— установленные федеральными законами права субъекта персональных данных;
— источник получения персональных данных.
за исключением следующих случаев:
— субъект персональных данных уведомлен об осуществлении обработки его персональных данных оператором;
— персональные данные получены оператором на основании федерального закона или в связи с исполнением договора, стороной которого является субъект персональных данных;
— персональные данные сделаны общедоступными субъектом персональных данных или получены из общедоступного источника;
— оператор осуществляет обработку персональных данных для статистических и иных исследовательских целей, научной, литературной или иной творческой деятельности, если при этом не нарушаются права и законные интересы субъекта персональных данных.
— предоставление субъекту персональных данных сведений, предусмотренных в настоящем пункте, нарушает права и законные интересы третьих лиц.
7.2.5. Оператор не имеет права получать и обрабатывать персональные данные субъекта о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях.
7.2.6. Письменное согласие пациента (или его законного представителя) на обработку персональных данных пациента должно включать в себя:
— фамилию, имя, отчество, адрес субъекта персональных данных (или его законного представителя), номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
— наименование и адрес Общества, получающего согласие субъекта персональных данных;
— цель обработки персональных данных;
— перечень персональных данных, на обработку которых дается согласие субъекта персональных данных (или его законного представителя);
— перечень действий с персональными данными, на совершение которых дается согласие;
— срок, в течение которого действует согласие, а также способ его отзыва, если иное не установлено федеральным законом;
— подпись субъекта персональных данных (или его законного представителя).
7.2.7. Персональные данные пациентов хранятся в электронных базах данных, которые могут быть подключены к локальной сети оператора, а также на бумажных носителях, которые хранятся у администратора. Для хранения персональных данных на бумажных носителях используются специально оборудованные шкафы, ящики или сейфы.
Бумажными носителями персональных данных пациентов являются:
— медицинская карта амбулаторного больного, которая заводится на каждого обратившегося в Стоматологию за оказанием медицинской помощи при первом обращении и хранится у администратора. Медицинская карта передается врачам-специалистам оператора при личном обращении пациента в ООО «ДАША», по окончанию приема медицинская карта сдается врачом-специалистом администратору;
— журналы и другие формы медицинской документации, содержащие персональные данные пациентов, оформляются и хранятся у администратора, кабинетах врачей оператора.
— прочие документы, используемые при оказании медицинской помощи и содержащие персональные данные пациентов (акты, направления, договоры, квитанции и пр.), после оформления передаются работнику, допущенному к работе с персональными данными, в должностные обязанности которого входит обработка этих данных.
Доступ к электронным базам данных ограничен паролем. Возможна передача персональных данных пациентов между структурными подразделениями с использованием учтенных съемных носителей или по внутренней сети оператора с использованием технических и программных средств защиты информации.
7.2.8. Срок или условие прекращения обработки персональных данных:
— достижение целей, установленных до начала обработки данных, если срок хранения не установлен законом. Если срок хранения установлен законом – по истечении срока хранения.
— утрата правовых оснований обработки персональных данных.
7.2.9. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.
7.3. Доступ к персональным данным пациентов ООО «ДАША».
7.3.1.Право доступа к персональным данным пациентов в объеме, необходимом для выполнения своих должностных обязанностей, имеют:
— директор;
— главный врач;
— бухгалтер;
— юрисконсульт;
— администратор;
— лечащий врач пациента;
— рентген-лаборант;
ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. При передаче персональных данных субъектов сотрудники оператора, имеющие доступ к персональным данным, должны соблюдать следующие требования:
8.1.1. Не сообщать персональные данные субъекта третьей стороне без письменного согласия субъекта персональных данных, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта персональных данных, а также в других случаях, предусмотренных Трудовым кодексом Российской Федерации или иными федеральными законами.
8.1.2. Не сообщать персональные данные субъекта персональных данных в коммерческих целях без его письменного согласия.
8.1.3. Предупредить лиц, получающих персональные данные субъекта персональных данных о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
8.1.4. Разрешать доступ к персональным данным субъектов персональных данных только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные субъектов персональных данных, которые необходимы для выполнения конкретных функций.
8.1.5. В процессе автоматизированной обработки персональные данные передаются по внутренней сети юридического лица и доступны строго определенным работникам ООО «ДАША».
8.1.6. Оператор заключает договор с третьим лицом с целью организации и обслуживания программного обеспечения, с помощью которого осуществляется обработка персональных данных, о чем субъект персональных данных дает согласие.
8.1.7. Все сведения о передаче персональных данных субъекта третьим лицам должны регистрироваться в Журнале учета передачи персональных данных в целях контроля правомерности использования данной информации лицами, ее получившими. В журнале фиксируются сведения о лице, направившим запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также отмечается какая именно информация была передана. Форма журнала учета передачи персональных данных представлена в Приложении № 3 к настоящему Положению.
8.1.8. В целях соблюдения законодательства Российской Федерации для достижения целей обработки персональных данных, а также в интересах субъектов персональных данных и в случаях, предусмотренных действующим законодательством Российской Федерации, оператор в ходе своей деятельности предоставляет персональные данные следующим органам: Федеральной налоговой службе Российской Федерации, Пенсионному фонду Российской Федерации, Фонду социального страхования Российской Федерации, Федеральной службе государственной статистики Российской Федерации. Фонду обязательного медицинского страхования Российской Федерации, Лицензирующим и/или контролирующим органам государственной власти и местного самоуправления и т.д.
8.1.9. Оператор не поручает обработку персональных данных другим лицам на основании договора.
ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Защита персональных данных у оператора представляет собой принятие правовых, организационных и технических мер, направленных на:
— обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
— соблюдение конфиденциальности информации ограниченного доступа;
— реализацию права на доступ к информации.
9.2. В целях обеспечения безопасности персональных данных при их обработке оператором:
— в пп. 5.3.1., 6.3.1., 7.3.1. настоящего положения установлен перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ;
— обеспечено раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
— осуществлять видеонаблюдение в течение времени работы оператора и хранение видеозаписей в течение не более одного месяца.
— помещения, в которых ведется работа с персональными данными, должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц;
— доступ к информации в электронном виде должен осуществляться с использованием парольной защиты;
— носители информации, содержащие персональные данные, учитывают в журнале учета электронных и материальных носителей персональных данных (Приложение № 6 к настоящему положению).
9.3. Обеспечение безопасности персональных данных в информационных системах персональных данных осуществляется в соответствии с требованиями ст. 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012г. №1119, нормативными и руководящими документами уполномоченных федеральных органов исполнительной власти.
9.4. Мероприятия по обеспечению безопасности персональных данных проводятся в соответствии с «Составом и содержанием организационным и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденных приказом ФСТЭК России от 18.02.2013 № 21.
9.5. Выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых обществом угроз безопасности персональных данных (модели угроз) и в зависимости от уровня защищенности информационной системы, определенного в соответствии с «Требованиями к защите персональных данных при их обработке в информационных системах персональных данных», утвержденными Приказом ФСТЭК России от 1 ноября 2012 г. №1119.
9.6. Выбранные и реализованные методы и способы защиты информации в информационной системе должны обеспечивать нейтрализацию предполагаемых угроз безопасности персональных данных при их обработке в информационных системах в составе системы защиты персональных данных.
9.7. Обеспечение безопасности персональных данных в информационных системах персональных данных без использования средств автоматизации осуществляется в соответствии с требованиями Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687.
9.8. Обеспечение безопасности биометрических персональных данных все информационных систем осуществляется в соответствии с Требованиями к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных, утвержденными Постановлением Правительства Российской Федерации от 06.07.2008 № 312.
9.9. Сотрудники оператора, имеющие доступ к персональным данным, обязаны принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, модифицирования, блокирования, копирования, распространения, а также от иных неправомерных действий в отношении данной информации.
9.10. Сотрудники оператора, имеющие доступ к персональным данным, подписывают обязательство о неразглашении персональных данных иных лиц, ставших им известными в процессе выполнения своей трудовой функции (Приложение №5 к настоящему положению).
9.11. Контроль за выполнением требований к защите персональных данных при их обработке, установленных действующим законодательством Российской Федерации, осуществляется оператором самостоятельно и (или) с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осуществление деятельности по технической защите конфиденциальной информации. Указанный контроль проводится не реже 1 раза в три года в сроки, определяемые директором ООО «ДАША».
9.12. Оператор назначает лицо, ответственное за организацию обработки персональных данных, которое обязано осуществлять внутренний контроль соответствия обработки персональных данных действующему законодательству Российской Федерации и настоящему положению.
9.13. В случае обнаружения несанкционированного доступа к персональным данным оператор принимает меры, предусмотренные действующим законодательством Российской Федерации.
ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ
10.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных, несут дисциплинарную, гражданско-правовую, административную (ст. ст. 5.39, 13.11, 13.14 Кодекса об административных правонарушениях Российской Федерации) или уголовную ответственность (ст. ст. 137,272, 274 Уголовного кодекса Российской Федерации) в соответствии с действующим российским законодательством Российской Федерации.