Положение об обработке и защите персональных данных пациентов
Общества с ограниченной ответственностью «Кедр»
1. Общие положения
1.1. Настоящее Положение разработано в целях защиты персональных данных пациентов ООО «Кедр» от несанкционированного доступа.
1.2. Настоящее Положение разработано в соответствии с требованиями ТК РФ, Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных», Федерального закона о здравоохранении и определяет особенности обработки персональных данных пациента.
1.3. Сбор, хранение, использование и распространение информации о состоянии здоровья пациента без письменного его согласия не допускаются. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 75-летнего срока хранения, если иное не определено законом.
1.4. Лица, в обязанность которых входит ведение персональных данных пациентов, обязаны обеспечить каждому возможность ознакомления с документами и материалами, непосредственно затрагивающими его права и свободы, если иное не предусмотрено законом.
1.5. Персональные данные не могут быть использованы в целях:
- причинения имущественного и морального вреда гражданам;
- затруднения реализации прав и свобод граждан Российской Федерации.
1.6. Ограничение прав граждан Российской Федерации на основе использования информации об их социальном происхождении, о расовой, национальной, языковой, религиозной и партийной принадлежности запрещено и карается в соответствии с действующим законодательством.
1.7. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.
1.8. Неправомерность деятельности органов государственной власти и организаций по сбору персональных данных может быть установлена в судебном порядке по требованию субъектов согласно законодательства Российской Федерации.
1.9. Настоящее Положение утверждается директором ООО «Кедр» и является обязательным для исполнения всеми сотрудниками, имеющими доступ к персональным данным пациента.
2. Перечень документов и сведений, содержащих персональные
данные пациента
2.1. В соответствии с Федеральным законом о здравоохранении, локальными нормативными актами ООО «Кедр» лицо, обратившиеся, предъявляет регистраторам/администраторам следующие документы, содержащие его персональные данные:
- паспорт или иной документ, удостоверяющий личность, содержащий сведения о паспортных данных пациента, сведения о месте регистрации (месте жительства), сведения о семейном положении;
- страховой полис ДМС.
2.2. В перечень документов и сведений, содержащих персональные данные, включаются:
- сведения о состоянии здоровья;
- анкетные и паспортные данные;
- семейное положение;
- другая информация.
3. Понятие и состав персональных данных
К персональным данным пациента — относятся:
а) сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (см. Указ Президента РФ от 06.03.1997 N 188);
б) любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных) (статья 3 Закона).
в) информацию о факте обращения за медицинской помощью (ст. 137 Федерального закона о здравоохранении).
3.1. Состав персональных данных пациента:
- анкетные и биографические данные;
- сведения о состоянии здоровья;
- образование;
- сведения о составе семьи;
- паспортные данные;
- специальность;
- занимаемая должность;
- адрес места жительства, номер домашнего телефона;
- место работы или учебы членов семьи и родственников;
3.2. Данные документы являются конфиденциальными.
4. Требования по обработке персональных данных пациентов
4.1. В целях обеспечения прав и свобод человека и гражданина лица участвующие в обработке персональных данных пациента обязаны соблюдать следующие общие требования:
- обработка персональных данных пациента может осуществляться лицами имеющим допуск исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, контроля количества и качества выполняемой работы;
- при определении объема и содержания обрабатываемых персональных данных пациента лица участвующие в процессе обработки должны руководствоваться Конституцией РФ, закона о здравоохранении и иными федеральными законами;
- все персональные данные пациента следует получать у него самого.
4.2. Если персональные данные пациента возможно получить только у третьей стороны, то пациент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Работник ООО «Кедр» должен сообщить пациенту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа пациента дать письменное согласие на их получение.
4.3. Защита персональных данных пациента от неправомерного их использования или утраты должна быть обеспечена ООО «Кедр» за счет своих средств в порядке, установленном федеральным законом.
4.7. Пациенты и их представители должны быть ознакомлены под роспись с документами организации, устанавливающими порядок обработки персональных данных пациента, а также об их правах и обязанностях в этой области.
5. Обязанности пациента
5.1. Пациент обязан:
5.1.1. Передавать лицу обрабатывающему персональные данные комплекс достоверных, документированных персональных данных, информацию о состоянии здоровья.
5.1.2. Своевременно сообщать лицу, использующему персональные данные пациента об их изменениях.
6. Права пациента
6.1. Пациент имеет право:
- получения полной информации о своих персональных данных и обработке персональных данных, состоянии и прогнозе своего здоровья;
- доступа к своим медицинским данным с помощью специалиста ответственного за ведение данных;
- требовать об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований и настоящего Положения;
- заявить в письменной форме о своем несогласии с соответствующим обоснованием такого;
- свободного бесплатного доступа к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законом;
- определять своих представителей для защиты своих персональных данных.
6.2. Пациент не должен отказываться от своих прав на сохранение и защиту тайны.
7. Сбор, обработка и хранение персональных данных
7.1. Порядок получения персональных данных:
7.1.1. Все персональные данные пациента следует получать у него самого. Если персональные данные пациента возможно получить только у третьей стороны, то пациент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
7.2. Обработка, передача и хранение персональных данных пациента:
7.2.1. Обработка персональных данных пациента — получение, хранение, комбинирование, передача или любое другое использование персональных данных пациента.
7.2.2. Круг лиц, допущенных к работе с документами, содержащими персональные данные пациента, определяется приказом директора ООО «Кедр».
7.2.3. К обработке, передаче и хранению персональных данных пациента могут иметь доступ старшая медицинская сестра, медицинские сестры участвующие непосредственно в получении персональных данных пациента, врачи, сотрудники бухгалтерии, сотрудники регистратуры/администраторы клиники касательно своего уровня обработки персональных данных.
7.3. Этапность получения и обработки персональных данных пациента.
7.3.1 При первичном посещении клиники пациента информация заносится в базу данных клиники. На этом этапе регистратор/администратор отмечает паспортные данные, контактный телефон, Ф.И.О специалиста к которому желает попасть пациент. Распечатывается амбулаторная карта в которой фиксируются выше перечисленные персональные данные пациента. Информация о пациенте хранится как на электронном, так и на бумажном носителе информации о персональных данных. Регистратор/администратор не вправе получать информацию о состоянии здоровья пациента. Ответственным на данном этапе хранения персональных данных является администратор, фиксирующий персональные данные.
7.3.2 После распечатки бумажный носитель передается врачу. Врач собирает информацию о состоянии здоровья пациента, фиксирует на бумажный носитель, передает в регистратуру/администратору. Ответственным за неразглашения информации о состоянии здоровья является врач. При передаче персональных данных пациента врач должен соблюдать следующие требования:
- не сообщать персональные данные третьей стороне без письменного согласия пациента, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью пациента, а также в случаях, установленных федеральным законом;
- не сообщать персональные данные пациента в коммерческих целях без его письменного согласия;
- предупредить лиц, получающих персональные данные пациента, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные пациента, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными пациента в порядке, установленном федеральными законами;
- разрешать доступ к персональным данным пациента только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные пациента, которые необходимы для выполнения конкретных функций;
7.3.3. После получения медицинских услуг носитель содержащий персональные данные о состоянии здоровья, диагнозе, проведенном лечении и рекомендациях хранится в архиве.
7.4. Все меры конфиденциальности при сборе, обработке и хранении персональных данных пациента распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
7.5. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.
7.6. С работниками, ответственными за хранение персональных данных, а также с работниками, владеющими персональными данными в силу своих должностных обязанностей, заключаются Соглашения о неразглашении персональных данных пациентов (Приложение 1). Экземпляр Соглашения хранится в личном деле.
7.7. Автоматизированная обработка и хранение персональных данных пациентов допускаются только после выполнения всех основных мероприятий по защите информации.
7.8. Помещения, в которых хранятся персональные данные пациента, должны быть оборудованы надежными замками.
7.9. Проведение уборки помещения должно производиться в присутствии ответственного лица.
8. Доступ к персональным данным пациента
8.1. Право доступа к персональным данным работника имеют:
- директор ООО «Кедр»;
- руководители (врачи клиники) отделений по направлению деятельности;
- сам пациент, носитель данных;
- другие сотрудники организации, которые имеют доступ к персональным данным пациента только с письменного согласия самого пациента, носителя данных.
8.2. Внешний доступ.
8.2.1. К числу массовых потребителей персональных данных вне клиники можно отнести государственные и негосударственные функциональные структуры:
- налоговые инспекции;
- правоохранительные органы;
- органы статистики;
- страховые агентства;
- военкоматы;
- органы социального страхования;
- пенсионные фонды;
- подразделения муниципальных органов управления.
8.2.2. Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.
8.2.3. Сведения о пациенте могут быть предоставлены другой организации только с письменного запроса на бланке организации, с приложением копии нотариально заверенного заявления пациента.
8.2.4. Персональные данные пациента могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого пациента.
9. Защита персональных данных
9.1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.
Защита персональных данных представляет собой жестко регламентированный и динамически развивающийся технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и в конечном счете обеспечивающий достаточно надежную безопасность информации в процессе управленческой и производственной деятельности компании.
9.1.1. Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации и предназначена для разграничения полномочий руководителями и специалистами компании.
9.1.2. Для защиты персональных данных пациента необходимо соблюдать ряд мер:
- наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
- определение и регламентация состава лиц, имеющих право доступа (входа) в помещение, в котором находятся персональные данные пациента
- организация порядка уничтожения информации;
- своевременное выявление нарушений требований разрешительной системы доступа;
- воспитательная и разъяснительная работа с сотрудниками по предупреждению утраты ценных сведений при работе с конфиденциальными документами;
9.1.3. Бумажные носители информации могут выдаваться на рабочие места только директору, заместителю директора и врачу.
9.2. Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и др.
9.3. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности клиники, посетители, работники других организационных структур. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения источников информации о состоянии здоровья пациента.
9.4. Для защиты персональных данных пациентов необходимо соблюдать ряд мер:
- порядок приема, учета и контроля деятельности посетителей;
- технические средства охраны, сигнализации;
- порядок охраны территории, зданий, помещений;
- требования к защите информации при опросе и сборе анамнеза.
10. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных пациента
Персональная ответственность — одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.
10.1. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность за данное разрешение.
10.2. Каждый сотрудник, получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
10.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных пациента, несут в соответствии с федеральными законами ответственность:
- дисциплинарную (замечание, выговор, увольнение);
- административную (предупреждение или административный штраф);
- гражданско-правовую (возмещение причиненного убытка).
11. Заключительные положения
11.1. Настоящее Положение вступает в силу с момента его утверждения директором и вводится в действие приказом директора ООО «Кедр».
11.2. Положение обязательно для всех работников ООО «Кедр», если иные условия не предусмотрены в трудовом договоре работника.
11.3. Директор ООО «Кедр» вправе вносить изменения и дополнения в положение.