Положение о защите и обработке персональных данных

Приложение № 01

к приказу от 26 июля 2021 год № 33/Д

по обществу с ограниченной ответственностью

«Медицинский центр «Лечебный массаж и физиотерапия»

 

Директор __________ Мальцев В.П.

 

 

Положение

по обработке персональных данных в

обществе с ограниченной ответственностью

«Медицинский центр «Лечебный массаж и физиотерапия»

 

1.Общие положения

 

1.1.Настоящее положение определяет порядок обработки персональных данных в обществе с ограниченной ответственностью «Медицинский центр «Лечебный массаж и физиотерапия», далее по тексту Оператор.

1.2.Настоящее положение разработано в соответствии с требованиями Федерального Закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», Федерального Закона от 20.11.2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», постановления Правительства РФ от 04.10.2012 г. № 1006 «Об утверждении правил предоставления медицинскими организациями платных медицинских услуг».

1.3.К субъектам персональных данных, в отношении которых Оператором осуществляется обработка персональных данных, относятся:

1.3.1. Работники Оператора (субъект персональных данных – работник)

1.3.2.Пациенты, которым предоставляются медицинские услуги Оператором (субъект персональных данных - Пациент, далее по тексту, Пациент).

1.3.3.Представители пациентов, которые заключают договоры предоставления платных медицинских услуг пациентам (представитель субъекта персональных данных – пациента, далее по тексту Представитель Пациента), именуемые в договоре предоставления платных медицинских услуг заказчиками.

1.4.Целями обработки Оператором персональных данных субъектов персональных данных, указанных в пункте 1.3. настоящего положения, являются следующее:

1.4.1.Организация кадрового учета и кадрового делопроизводства Оператора, обеспечение соблюдения Оператором требований трудового законодательства.

1.4.2.Медицинские цели, в том числе, установление диагноза и предоставление Оператором медицинских услуг Пациентам.

1.5.Состав персональных данных, цели обработки которых, определены в пункте 1.4.1. настоящего положения включает следующее:

1.5.1.Паспортные данные работника, в т.ч. номер, серия паспорта, дата выдачи, организация, выдавшая паспорт, регистрация по месту проживания (пребывания), семейное положение, возраст.

1.5.2.Индивидуальный идентификационный номер налогоплательщика (работника).

1.5.3.Данные страхового свидетельства государственного пенсионного страхования работника.

1.5.4.Данные документов воинского учета (для военнообязанных работников).

1.5.5.Сведения об основном образовании работника, о повышении квалификации, о профессиональной переподготовке, о сертификатах специалиста, о свидетельстве об аккредитации специалиста, номера и даты документов об образовании, данных об образовательных учреждениях, в т.ч. копии документов об образовании.

1.5.6.Сведения о состоянии здоровья работника.

1.5.7.Сведения о семейном положении работника, включая данные о фамилии, имени отчестве и возрасте членов семьи.

1.5.8.Сведения трудовых договоров Оператора с работником.

1.5.9.Сведения из приказов о приеме на работу, увольнении, переводах, предоставлении отпусков, направлении на обучение, поощрениях и взысканиях, премированиях работника.

1.5.10.Сведения личной карточки работника, форме которой утверждается приказом директора Оператора.

1.5.11.Сведения из документов, оформленных работником и связанных с исполнением им трудовых обязанностей, в том числе: заявления, объяснительные, служебные записки.

1.5.12.Сведения о наличии или отсутствии у работника судимости.

1.5.13.Сведения о работнике, содержащиеся в иных документах, необходимых для оформления трудовых отношений между работником и работодателем, в том числе, сведения из трудовой книжки работника.

1.5.14.Сведения о размере заработной платы работника.

1.6.Состав персональных данных, цели обработки которых, определены в пункте 1.4.2. настоящего приказа включает следующее:

1.6.1.Паспортные данные Пациентов, в том числе: фамилия, имя, отчество, номер, серия, дата выдачи паспорта, организация выдавшая паспорт, регистрация по месту проживания (пребывания), семейное положение, возраст.

1.6.2.Паспортные данные Представителей пациентов, в том числе: фамилия, имя, отчество, номер, серия, дата выдачи паспорта, организация выдавшая паспорт, регистрация по месту проживания (пребывания), семейное положение, возраст.

1.6.3.Сведения о родственных отношениях Пациента и Представителя пациента.

1.6.4.Сведения о состоянии здоровья Пациента, в том числе, о заболеваниях, случаях обращения за медицинской помощью, условия оказания медицинской помощи, объем оказанной медицинской помощи, включая сведения об оказанных медицинских услугах, примененные стандарты медицинской помощи, результат обращения за медицинской помощью, медицинских работниках, оказавших медицинскую помощь, о назначенных лекарственных препаратах, о медицинской документации и медицинской организации, в которой эта медицинская документация создана.

1.6.5.Иные сведения, содержащиеся в договоре предоставления медицинских услуг, заключенных между Оператором и Пациентом, между Оператором и Представителем пациента.

1.6.6.Сведения о месте работы и занимаемой должности Пациента.

1.6.7.Сведения об идентификационном номере налогоплательщика – Пациента.

1.6.8.Сведения об идентификационном номере налогоплательщика – Представителя пациента.

1.7.В процессе обработке персональных данных субъектов персональных данных, Оператором совершаются следующие действия: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование.

1.8.Общими условиями и принципами обработки Оператором персональных данных субъектов персональных данных являются:

1.8.1.Обработка персональных данных осуществляется исключительно в целях, указанных в пункте 1.4. настоящего положения.

1.8.2.Не допускается обработка персональных данных несовместимая с целями обработки персональных данных, которые указаны в пункте 1.4. настоящего положения.

1.8.3.Не допускается объединение баз данных, содержащие персональные данные различных субъектов персональных данных, в отношении которых Оператором осуществляется обработка персональных данных.

1.8.4.Обработке подлежат только те персональные данные субъектов персональных данных, которые отвечают целям, обозначенным в пункте 1.4. настоящего положения.

1.8.5.Содержание и объем персональных данных субъектов персональных данных должны соответствовать целям обработки персональных данных, указанным в пункте 1.4. настоящего положения.

1.8.6.При обработке персональных данных субъектов персональных данных должна быть обеспечена их точность, достаточность и актуальность.

1.8.7.Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем того требует волеизъявление субъекта персональных данных, изложенное в согласии на обработку персональных данных, трудовое законодательство, законодательство в сфере здравоохранения, законодательство, устанавливающее сроки хранения договоров предоставления платных медицинских услуг

1.8.8.Обработка персональных данных осуществляется с согласия субъекта персональных данных, которое может быть дано субъектом персональных данных, представителем субъекта персональных данных, исключительно в письменной форме.

1.9.Оператом обязан обеспечить конфиденциальность информации –он не имеет права раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, за исключением случаев, предусмотренных федеральными законами.

1.10.Оператор обязан, в процессе обработки персональных данных, предоставить субъекту персональных данных, по его запросу, в течение 30-ти дней, следующую информацию:

1.10.1.Подтверждение факта обработки его персональных данных Оператором, состав обрабатываемых персональных данных, сроки их обработки и хранения.

1.10.2.Правовые основания и цели обработки его персональных данных Оператором.

1.10.3.Применяемые Оператором способы обработки персональных данных;

1.10.4.Сведения о лицах, которые имеют доступ к его персональным данным.

1.10.5.Порядок осуществления субъектом персональных данных своих прав, предусмотренных Федеральным законом «О персональных данных».

1.11.Оператор, при сборе персональных данных, обязан разъяснить субъекту персональных данных, юридические последствия отказа предоставить персональные данные.

1.12.Оператор предпринимает следующие правовые, организационные и технические меры, обеспечивающие безопасность персональных данных:

1.12.1.Определение угроз безопасности персональных данных в процессе формирования с использованием компьютерной техники медицинской и договорной документации, которая содержит соответствующие персональные данные.

1.12.2.Применение организационных и технических мер по безопасности персональных данных в процессе формирования с использованием компьютерной техники медицинской и договорной документации, которая содержит соответствующие персональные данные.

1.12.3.Применение средств защиты персональных данных, в процессе их обработке с помощью компьютерной техники, прошедших соответствующую сертификацию.

1.12.4.Выявление фактов несанкционированного доступа к персональным данным.

1.12.5.Инструктаж работников, которые в соответствии с занимаемой должностью осуществляют формирование медицинской и договорной документации, в том числе, с использованием компьютерной техники, по порядку работы с персональными данными.

1.12.6.Оценкой эффективности принимаемых мер по безопасности персональных данных и контроль за этими мерами безопасности.

1.12.7.Выделение помещения, для хранения документов, содержащих персональные данные, их укомплектование шкафами, стеллажами, тумбами.

1.12.8.Осуществление внутреннего контроля соответствия обработки персональных данных действующему законодательству и настоящему положению. Периодичность и формы проведения внутреннего контроля определяется директором Оператора.

1.13.Приказом директора Оператора назначается лицо, ответственное за организацию работы по обработке персональных данных.

1.14.Все действия с персональными данными осуществляются работниками Оператора, занимающими должности, исполнение обязанностей по которым предполагает доступ к персональным данным субъектов персональных данных.

1.15.Работники Оператора, осуществляющие обработку персональных данных, должны быть ознакомлены с требованиями законодательства о персональных данных, настоящим положением и обязаны предоставить Оператору обязательство об обеспечении конфиденциальности персональных данных, по форме, утвержденной приказом директора Оператора.

1.16.Отвественность за нарушение требований законодательства о защите персональных данных:

1.16.1.Работники Оператора, виновные в нарушении норм, регулирующих обработку персональных данных субъектов персональных данных, несут дисциплинарную, административную, гражданско – правовую и уголовную ответственность, в соответствии с действующим законодательством.

2.Обработка персональных данных Субъектов персональных данных - работников.

2.1.Все персональные данные предоставляются Субъектом персональных данных - работником самостоятельно, за исключения случаев, предусмотренных федеральными законами.

2.2.В том случае, если персональные данные работника, можно получить только у третьей стороны, Оператор обязан уведомить об этом субъекта персональных данных - работника и получить у него соответствующее письменное согласие.

2.3.В случае, указанном в пункте 2.2. настоящего положения, Оператор сообщает субъекту персональных данных - работнику о целях и способах получения персональных данных, их характере и последствиях отказа дать согласие на их получение.

2.4. Оператор не имеет право получать и обрабатывать персональные данные субъекта персональных данных - работника о его политических, религиозных и иных убеждениях.

2.5.Персональные данные субъектов персональных данных - работников хранятся Оператором бумажных и электронных носителях, хранящихся в помещении, определенном директором Оператора для указанной цели.

2.6.Перечень должностей Оператора, исполнение обязанностей по которым предоставляет право на обработку персональных данных субъектов персональных данных - работников, утверждается приказом директора Оператора.

2.7.Право на доступ к персональным данным субъектов персональных данных - работников, работник Оператора, назначенный на должность, предусмотренную перечнем, указанным в пункте 2.6. настоящего положения приобретает только после оформления и подписания им обязательства об обеспечении конфиденциальности персональных данных, по форме, утвержденной приказом директора Оператора.

2.8.Помимо лиц, указанных в пункте 2.7. настоящего положения, право на доступ к персональным данным имеют лица, наделенные таким правом действующим законодательством.

2.9.Передача персональных данных субъектов персональных данных - работников третьим лицам допускается при соблюдении следующих требований:

2.9.1.Наличие письменного согласия субъекта персональных данных - работника на соответствующую передачу, помимо случаев, когда передача персональных данных допускается действующим законодательством.

2.9.2.Третьи лица, получающие персональные данные субъекта персональных данных - работника должны быть уведомлены о том, что использование полученных персональных данных допускается только в целях, для которых они сообщены.

2.10.В целях защиты персональных данных, хранящихся у Оператора, субъекты персональных данных - работники имеют право:

2.10.1.Получать полную информацию о своих персональных данных и их обработке.

2.10.2.Получать доступ к своим персональным данным, в т.ч. на получение копий документов, в которых содержаться сведения, являющиеся его персональными данными.

2.10.3.Требовать уничтожение и/или исправления неверных или неполных данных, а также данных, обработанных с нарушением законодательства о персональных данных.

2.10.4.Требовать извещения всех лиц, которым были сообщены неверные или неполные персональные данные субъекта персональных данных - работника об указанном факте, с предоставлением верных или уточненных сведений.

2.11.Субъект персональных данных - работник обязан:

2.11.1.При приеме на работу предоставлять достоверные персональные данные, в объеме, предусмотренном действующим трудовым законодательством и законодательством в сфере здравоохранения.

2.11.2.В случае изменения персональных данных, входящих в состав его персональных данных, уведомить об этом Оператора в течение 5-дней после возникновения изменений.

3.Обработка персональных данных Пациентов и Представителей пациентов.

3.1.Все персональные данные предоставляются Пациентами и Представителями пациентов, самостоятельно, на основании их письменного согласия на обработку персональных данных, по форме, утвержденной приказом Оператора и доведенной до субъектов персональных данных перед заключением договора предоставления платных медицинских услуг.

3.2.Текст согласия на обработку персональных данных Пациента, Представителя пациента, не предусматривающее передачу (представление) Оператором персональных данных третьим лицам, соответствующий утвержденному настоящимположением, печатается на бланке договора предоставления платных медицинских услуг.

3.3.Согласие на обработку персональных данных Пациента, Представителя пациента, предусматривающее передачу Оператором персональных данных Пациента третьим лицам, печатается на отдельном документе.

3.4.В случае, если Пациент, Представитель пациента отказывается на включение в согласие на обработку персональных данных сведения о номере, серии, дате выдачи паспорта, организации, выдавшей паспорт, Оператора уведомляет субъекта персональных данных о несоответствии его действий законодательству. В этом случае, согласие на обработку персональных данных оформляется без сведений, в отношении которых субъект персональных данных не предоставил согласие на обработку.

3.5.В случае если Пациент недееспособен или не достиг возраста 15-ти лет, согласие на обработку персональных данных указанных субъектов персональных данных, предоставляет Представитель пациента.

3.6.В случаях, предусмотренных пунктом 3.5. настоящего положения, Представитель Пациента, одновременно с предоставлением согласия на обработку персональных данных Пациента, предоставляет согласие на обработку своих персональных данных.

3.7.Согласие Пациента, Представителя пациента на обработку персональных данных передачу, предусматривающих их передачу третьим лицам, предоставляется указанными субъектами персональных данных исключительно в письменной форме, отдельно от согласия на обработку персональных данных, не предусматривающих такую передачу.

3.8.Персональные данные Пациентов, Представителей пациентов хранятся на бумажных носителях (медицинская документация, договоры предоставления платных медицинских услуг и пр.) и на электронных носителях, хранящихся в помещении, определенном директором Оператора для указанной цели.

3.9.В целях настоящего положения под медицинским документом следует понимать документ, отвечающий указанным ниже требованиям:

3.9.1.Форма документа установлена органом, уполномоченным в сфере здравоохранения;

3.9.2.Включает в себя следующие сведения о Пациенте: о заболеваниях, случаях обращения за медицинской помощью, объем оказанной медицинской помощи, включая сведения об оказанных медицинских услугах, результат обращения за медицинской помощью, о назначенных лекарственных препаратах, медицинских работниках, оказавших медицинскую помощь, возрасте, характере профессиональной деятельности.

3.10.Срок хранения согласия на обработку персональных данных субъектов профессиональных данных, указанных в пункте 1.3.2. и 1.3.3. настоящего положения определяется в соответствии со сроками хранения договоров предоставления платных медицинских услуг.

3.11.Согласия субъектов персональных данных на их обработку, предусматривающие передачу персональных данных третьим лицам размещаются и хранятся, в алфавитном порядке, в деле, включенном в номенклатуру дел Оператора, утвержденной приказом директора Оператора.

3.12.Обработка персональных данных субъектов Пациентов, Представителей пациентов, осуществляется при обязательном и безусловном соблюдении врачебной тайны.

3.13.Под врачебной тайной, в соответствии с действующим законодательством следует понимать соблюдение конфиденциальности информации о факте обращения за медицинской помощью, состоянии здоровья обратившегося, диагнозе его заболевания и иных сведениях, полученных при его обследовании и лечении.

 

 

 

Исполнительный директор

____________________ Балагурова Е.В.

26 июля 2021 года