ПОЛИТИКА ООО «АЛЬТРА»
в отношении обработки и защиты
персональных данных пациентов
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящая Политика устанавливает порядок обработки и защиты оператором персональных данных пациентов.
Под оператором понимается Общество с ограниченной ответственностью «Альтра» (далее – Клиника), организующее и осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных.
Под пациентом понимается лицо, в отношении которого оператор оказывает медицинские услуги.
Под обработкой персональных данных понимаются действия (операции) с персональными данными, включая сбор, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных.
1.2. Клиника осуществляет свою деятельность в соответствии с действующим законодательством Российской Федерации по направлениям, обозначенным в полученной лицензии на осуществление медицинской деятельности, Устава.
1.3. Оказание медицинских услуг предполагает обработку персональных данных пациентов. В соответствии с действующим законодательством Клиника внедрила комплекс организационных и технических мероприятий для обеспечения безопасности обрабатываемых персональных данных пациентов.
1.4. Приоритетной задачей в работе Клиники является соблюдение действующего законодательства Российской Федерации в области информационной безопасности, а так же требований Федерального закона от 27.07.2006 года №152-ФЗ «О персональных данных», основной целью которого является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
1.5. Целью обработки персональных данных пациентов Клиники (включая сбор, запись, систематизацию, накопление, хранение, обновление, изменение, использование, передачу, обезличивание, блокирование, уничтожение персональных данных) является оказание медицинских услуг в рамках заключенных договоров; связь с пациентами (прямой маркетинг).
1.6. При обработке персональных данных ООО «Альтра» придерживается следующих принципов:
- соблюдение законности получения, обработки, хранения, а так же других действий с персональными данными;
- обработка персональных данных исключительно с целью исполнения своих обязательств в рамках оказания медицинских услуг;
- сбор только тех персональных данных, которые минимально необходимы для достижения заявленных целей обработки;
- выполнение мер по обеспечению безопасности персональных данных при их обработке и хранении;
- соблюдение прав субъекта персональных данных на доступ к его персональным данным;
- соответствие сроков хранения персональных данных заявленным целям обработки.
1.7. Основным требованием обработки персональных данных в Клинике является конфиденциальность персональных данных. Персонал клиники и иные лица, получившие право доступа к персональным данным пациентов, подписывают соглашение о неразглашении персональных данных и обязаны обеспечивать конфиденциальность таких данных, за исключением случаев обезличенных персональных данных и в отношении общедоступных персональных данных.
1.8. Клиника имеет право вносить изменения в настоящую Политику.
1.9. Настоящая Политика и изменения к ней утверждаются приказом директора ООО «Альтра» и вводится со дня утверждения. Работники оператора, имеющие право доступа к персональным данным пациентов (клиентов), должны быть ознакомлены с Политикой под личную подпись.
2. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1. Под персональными данными пациента понимается информация, необходимая Клинике при проведении диагностических, лечебно-профилактических, оздоровительных мероприятий и касающаяся конкретного пациента, а также сведения о фактах, событиях и обстоятельствах жизни пациента, позволяющие идентифицировать его личность.
2.2. Перечень персональных данных пациентов, обрабатываемых в ООО «Альтра»:
- фамилия, имя, отчество;
- пол;
- число, месяц и год рождения;
- адрес места регистрации
- адрес места проживания;
- номера контактных телефонов (мобильный, домашний);
- реквизиты полиса ОМС;
- реквизиты полиса ДМС;
- данные о состоянии здоровья, заболеваниях, случаях обращения за медицинской помощью;
-биометрические (изображение с камер видеонаблюдения; фотографии, полученные до, после и в процессе оказания медицинских услуг);
- паспортные данные (номер паспорта, где, кем и когда выдан);
- свидетельство о рождении;
- социальное положение;
- место работы, занимаемая должность;
- иные сведения, относящиеся к персональным данным.
2.3. ООО «Альтра» осуществляет обработку данных о состоянии здоровья пациентов в целях оказания медицинских услуг, установления медицинского диагноза, при этом обработка персональных данных осуществляется лицами, профессионально занимающимися медицинской деятельностью и обязанными в соответствии с законодательством Российской Федерации сохранять врачебную тайну.
3. УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
3.1. Сбор персональных данных осуществляется исключительно с письменного согласия пациента (согласие на обработку персональных данных). Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Образец формы согласия на обработку персональных данных находится на ресепшн, заполняется при первичном посещении Клиники.
Персональные данные пациента Клиника получает только лично от пациента. Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
3.2. В случае недееспособности субъекта персональных данных, все персональные данные субъекта оператор получает от его законных представителей (родителей, попечителей, опекунов и т.д.).
Законный представитель самостоятельно принимает решение о предоставлении персональных данных своего подопечного и дает письменное согласие на их обработку оператором.
Полномочия данного представителя на дачу согласия от имени субъекта персональных данных проверяются оператором.
3.3.Согласие субъекта персональных данных не требуется в следующих случаях:
- предусмотренных частью 4 статьи 13 Федерального закона № 323-ФЗ от 21 ноября 2011 года «Об основах охраны здоровья граждан в Российской Федерации»;
- при оказании медицинской помощи несовершеннолетнему гражданину в возрасте до 15 лет для информирования его родителей или законных представителей;
- иных случаях, предусмотренных действующим законодательством РФ.
3.4. Согласие на обработку персональных данных может быть отозвано субъектом и(или) его законным представителем путем подачи письменного заявления.
3.5. В случаях, когда оператор может получить необходимые персональные данные субъекта только у третьей стороны, субъект персональных данных должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. В уведомлении оператор обязан сообщить о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа субъекта дать письменное согласие на их получение.
3.6. Обработка персональных данных в ООО «Альтра» ведется с использованием средств автоматизации и без использования средств автоматизации.
3.7. К обработке персональных данных в Клинике допускается персонал прошедший установленную процедуру допуска:
- ознакомление с локальными нормативными актами (настоящая Политика, приказы, инструкции и т.д.), регламентирующими порядок и процедуру работы с персональными данными;
- оформление подписки о соблюдении конфиденциальности в отношении персональных данных при работе с ними;
- получение и использование в работе индивидуальных атрибутов доступа к информационным системам, содержащим в себе персональные данные.
Каждому работнику даны минимально необходимые для исполнения трудовых обязанностей права на доступ в информационные системы.
3.8. Право внутреннего доступа (доступа внутри Клиники) к персональным данным пациентов имеют:
- директор ООО «Альтра»,
- определенные перечнем работники Клиники, доступ которых к персональным данным пациентов необходим в целях выполнения ими своих должностных обязанностей;
- сам субъект, носитель данных;
- представители субъекта персональных данных.
3.9. К числу массовых потребителей персональных данных, вне Клиники, относятся государственные и негосударственные функциональные структуры: налоговые инспекции, правоохранительные органы, органы статистики, страховые агентства, военкоматы, органы социального страхования, подразделения федеральных, республиканских и муниципальных органов управления.
Права внешнего доступа при предоставлении соответствующего запроса предоставляются судам общей юрисдикции, мировому суду, арбитражному суду, органам МВД, прокуратуры, ФСБ РФ.
Контрольные и надзорные органы имеют доступ к информации в сфере своей компетенции.
4. УСЛОВИЯ ХРАНЕНИЯ И УНИЧТОЖЕНИЯ ДОКУМЕНТОВ, СОДЕРЖАЩИХ ПЕРСОНАЛЬНЫЕ ДАННЫЕ ПАЦИЕНТОВ
4.1. Клиника осуществляет хранение персональных данных пациентов на бумажных и электронных носителях с ограниченным доступом.
4.2. Персональные данные, зафиксированные на бумажных носителях, хранятся в специально отведенных помещениях с ограниченным правом доступа.
Доступ посетителей в кабинеты оператора возможен только во время нахождения там работников Клиники. При отсутствии работников данные кабинеты закрываются.
4.3. В электронном виде персональные данные пациентов хранятся в информационной системе персональных данных, а так же в архивных копиях баз данных этих систем. Работники Клиники обеспечивают их защиту от несанкционированного доступа и копирования.
4.4. При хранении персональных данных как на бумажных, так и на электронных носителях соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним:
- назначение работника ответственного за тот или иной способ хранения персональных данных;
- ограничение физического доступа к местам хранения и носителям;
- использование персональных паролей при работе с ПК;
- учет всех информационных систем и электронных носителей, а так же архивных копий.
4.5. Хранение персональных данных в форме, позволяющей определить субъекта персональных данных, осуществляется не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого является субъект персональных данных. На протяжении всего срока хранения оператор обеспечивает сохранность, неизменность и достоверность сведений, содержащихся в указанной документации.
4.6. Уничтожение персональных данных осуществляется:
- по достижении цели обработки персональных данных;
- в случае утраты необходимости в достижении целей обработки персональных данных;
- в случае отзывам пациентом (законным представителем) согласия на обработку персональных данных;
- по требованию субъекта персональных данных или уполномоченного органа по защите прав субъектов в случае выявления совершения Клиникой неправомерных действий с персональными данными.
4.7. Уничтожение бумажных носителей, содержащих персональные данные, производится путем сожжения (допускается применение шредера).
Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.
Факт уничтожения персональных данных подтверждается документально актом об уничтожении носителей, установленной формы.
4.7. Передача персональных данных третьим лицам возможна в исключительных случаях и при соблюдении следующих требований:
4.7.1. сообщать персональные данные пациента третьей стороне только с согласия пациента (законного представителя), за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью пациента, а также в случаях, предусмотренных федеральным законодательством Российской Федерации;
4.7.2. передавать персональные данные только с целью исполнения обязанностей перед пациентом в рамках договора;
4.7.3. предупреждать лиц, получающих персональные данные пациента, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные пациента, обязаны соблюдать требования конфиденциальности;
4.7.4. передавать персональные данные пациента (в том числе результаты исследований) родственникам или членам его семьи только с письменного разрешения самого пациента, в качестве которого может быть:
- нотариально заверенная доверенность;
- собственноручно написанная клиентом доверенность в присутствии уполномоченного работника Клиники и им заверенная;
за исключением случаев, когда передача персональных данных без его согласия допускается действующим законодательством РФ;
4.7.5. не сообщать персональные данные пациента в коммерческих целях без его письменного согласия.
4.8. Обеспечение безопасности персональных данных в ООО «Альтра» достигается следующими мерами:
- разработкой политики в отношении обработки персональных данных;
- назначением ответственного лица за организацию обработки персональных данных;
- определением списка лиц, допущенных к работе с персональными данными и разграничение прав доступа к обрабатываемым персональным данным;
- разработкой и утверждением локальных нормативных актов, регламентирующих порядок обработки персональных данных;
- реализацией организационных и технических мер, снижающих вероятность реализаций угроз безопасности персональных данных;
- осуществлением внутреннего контроля.
5. ПРАВА ПАЦИЕНТОВ В ЦЕЛЯХ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ, ХРАНЯЩИХСЯ У ОПЕРАТОРА
5.1. В целях обеспечения защиты персональных данных, хранящихся у оператора, пациенты имеют право на:
5.1.1. Получение полной информации об их персональных данных и обработке этих данных, включающей:
- подтверждение факта обработки персональных данных;
- правовые основания, цели и применяемые способы обработки персональных данных;
- наименование и место нахождения Клиники, как оператора, сведения о лицах (за исключением работников организации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок не предусмотрен Федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных своих прав;
- информацию об осуществленной или о предполагаемой передаче данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению организации, если обработка поручена или будет поручена такому лицу.
Соответствующая информация предоставляется потребителю или его представителю при обращении либо при получении запроса пациента (клиента) или его законного представителя. Запрос должен быть составлен в соответствии с требованиями законодательства.
5.1.2. Доступ к своим персональным данным, определенный Конституцией РФ, другими нормативными актами.
5.1.3. Требование исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением законодательства.
5.1.4. Отказ от обработки персональных данных, оформленный и предоставленный оператору надлежащим образом.
5.1.5. Обжалование в суде любых неправомерных действий оператора при обработке и защите его персональных данных.
6. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕНТОВ
6.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных пациента, привлекаются к дисциплинарной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.