Политика обработки персональных данных в ООО «Межрайонный центр глазной хирургии»
Утверждено приказом ООО «Межрайонный центр глазной хирургии»
от 12.01.2015г №10В
- Общие положения.
1.1. Настоящее «Положение об обработке и защите персональных данных Пациентов (в дальнейшем «Положение») разработано на основании:
- Конституции Российской Федерации, Трудового кодекса Российской Федерации ;
- Федерального закона от 27 июля 2006 г N 152 ФЗ «О персональных данных», и других действующих нормативно-правовых актов Российской Федерации.
- Постановления Правительства РФ от 1 ноября 2012 г N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Постановление Правительства РФ от 15 сентября 2008 г N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Приказа Федеральной службы по техническому и экспортному контролю от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Руководящего документа ФСТЭК России «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 15 февраля 2008 г. Скачать;
- Руководящего документа ФСТЭК России «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» от 14 февраля 2008 г.Скачать
1.2. Положение устанавливает порядок получения, учета, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным Пациентов ООО «Межрайонного центра глазной хирургии». (в дальнейшем – Общество)
1.3. Целью настоящего Положения является защита персональных данных Пациентов от несанкционированного доступа и разглашения. Персональные данные являются конфиденциальной, строго охраняемой информацией.
- Цели и задачи обработки персональных данных пациентов Общества.
2.1. Обработка персональных данных в Обществе осуществляется с целью предоставления субъектам персональных данных квалифицированной медицинской помощи и исполнения своих обязательств в рамках договорных отношений и действующего законодательства Российской Федерации. Обработка персональных данных пациентов осуществляется для решения следующих задач:
- Формирование и обработка документов с целью оказания медицинских услуг;
- Бухгалтерский учет и контроль финансово-хозяйственной деятельности Общества и исполнения финансовых обязательств по заключенным договорам;
- Ведение амбулаторных карт (в т.ч. в электронной форме);
- Поддержание контактов с субъектом персональных данных или его законными представителями;
- Иные задачи, необходимые для повышения качества и эффективности деятельности Общества.
- Состав обрабатываемых персональных данных Пациентов.
3.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Пациент – физическое лицо, которому оказываются медицинские услуги или которое обратилось за оказанием медицинской помощи независимо от наличия у него заболевания и от его состояния.
3.2. Под персональными данными Пациентов (субъектов персональных данных)- понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, пол, год, месяц, дата и место рождения, адрес места жительства, контактные телефоны, реквизиты полиса ОМС (ДМС), ИНН при оформлении справок в налоговые органы), паспортные данные, данные о состоянии здоровья, заболеваниях, результаты выполненных медицинских исследований, другая информация, необходимая для выполнения обязательств медицинского центра в соответствии с действующим законодательством РФ.
Данная информация собирается исключительно с письменного согласия на обработку персональных данных субъекта персональных данных или его законного представителя. При отказе субъекта персональных данных дать согласие ему объясняются последствия такого отказа.
- Принципы обработки персональных данных.
4.1 При обработке персональных данных пациентов Общество придерживается принципов:
- добросовестности и законности целей и способов обработки персональных данных;
- соблюдения законности получения, обработки, хранения, а также других действий с персональными данными;
- соответствия объема и содержания обрабатываемых персональных данных и способов обработки персональных данных целям обработки;
- достоверности персональных данных, их актуальности и достаточности для целей обработки, недопустимости обработки персональных данных, избыточных по отношению к целям, заявленным при сборе персональных данных;
- недопустимости объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- ограничения обработки персональных данных при достижении конкретных и законных целей, запрета обработки персональных данных, несовместимых с целями сбора персональных данных;
- осуществления хранения персональных данных в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен действующим законодательством. Персональные данные подлежат уничтожению или обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.
- Сведения о реализуемых требованиях к защите персональных данных.
5.1. Общество принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
- Сбор (получение) персональных данных, обработка персональных данных, хранение персональных данных.
6.1. Персональные данные пациентов организация получает только лично от пациента или от его законного представителя. Персональные данные пациента могут быть получены с его слов и не проверяются.
6.2. Обработка персональных данных в организации происходит как неавтоматизированным, так и автоматизированным способом.
6.3. Сотрудники, имеющие доступ к персональным данным, получают только ту информацию, которая необходима им для выполнения конкретных трудовых функций.
6.4. Персональные данные пациентов хранятся в бумажном и электронном виде. В электронном виде персональные данные пациентов хранятся в информационной системе персональных данных организации, а так же в архивных копиях баз данных этих систем.
При хранении персональных данных пациентов и работников соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним.
- Передача персональных данных третьим лицам.
7.1. Передача персональных данных третьим лицам возможна только с согласия Пациента и только с целью исполнения обязательств Общества в рамках существующих договорных отношений, кроме случаев, когда такая обязанность наступает в результате требований действующего законодательства Российской Федерации или при поступлении запроса от уполномоченных государственных органов. В таком случае Общество ограничивает передачу персональных данных запрошенным объемом. При этом Пациенту направляется уведомление о факте передачи его персональных данных третьей стороне, если такое возможно.
Персональные данные Пациента (в том числе результаты исследований) могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого Пациента, за исключением случаев, когда передача персональных данных без его согласия допускается действующим законодательством Российской Федерации.
- Права и ответственность субъекта Персональных данных.
8.1. Субъект Персональных данных имеет право:
- требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- требовать перечень своих персональных данных, обрабатываемых медицинским центром и источник их получения;
- получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
- обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;
- на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке;
- иные права, предусмотренные действующим законодательством Российской Федерации
- пациент несет ответственность за предоставление не соответствующих действительности персональных данных.
- Заключительные положения.
9.1. Общество обеспечивает неограниченный доступ к Политике, в том числе размещает ее на своем официальном сайте.
9.2. Настоящая Политика подлежит изменению, дополнению в случае появления новых законодательных актов и специальных нормативных документов по обработке и защите персональных данных.
9.3. Контроль исполнения требований настоящей Политики осуществляется руководителем.
9.4. В случае отказа субъекта персональных данных предоставить сведения или подписать согласие на обработку персональных данных, Общество оставляет за собой право отказа в предоставлении медицинских услуг.
9.5. Ответственность должностных лиц Общества, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных, определяется в соответствии с действующим законодательством Российской Федерации и внутренними документами медицинского центра.
9.6. Все предложения или вопросы по поводу настоящей Политики следует сообщать в Администрацию Общества.
Настоящая Политика обработки персональных данных действует в отношении всей информации, которую Общество может получить о пользователе во время использования им сервисов сайта. Использование сервисов сайта означает безоговорочное согласие пользователя с настоящей Политикой и указанными в ней условиями обработки его персональной информации; в случае несогласия с этими условиями пользователь должен воздержаться от использования сервисов сайта.