Режим работы: ежедневно
Краснодар, Северная 455, 2 этаж

Положение о защите, хранении, обработке и передаче персональных данных работников и пациентов

1. Общие положения

1.1. Настоящее положение регламентируется Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, Федеральным законом от 27 июля 2006г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 21 ноября 2011 г. N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации», Федеральным законом от 27 июля 2006г. № 152-ФЗ «О персональных данных» (далее - Закон о персональных данных) и иными нормативными правовыми актами в области обработки и защиты персональных данных. 1.2. Персональные данные работника - информация, необходимая ООО «Второе мнение» (далее - медицинская организация, работодатель) в связи с трудовыми отношениями и касающаяся конкретного работника. Персональные данные пациента - информация, полученная медицинской организацией при первоначальном поступлении пациента, при заключении с пациентом договора на оказание медицинских услуг, а также информация, полученная в процессе оказания медицинской помощи.

1.3. К персональным данным работника относятся:

  • фамилия, имя, отчество;
  • пол;
  • дата и место рождения;
  • гражданство;
  • данные документа, удостоверяющего личность;
  • место жительства;
  • место регистрации;
  • дата регистрации;
  • страховой номер индивидуального лицевого счета;
  • сведения об образовании, в том числе данные об организациях, осуществляющих образовательную деятельность по реализации профессиональных образовательных программ медицинского образования, о документах об образовании и (или) о квалификации, о договоре о целевом обучении, а также данные о сертификате специалиста или о прохождении аккредитации специалиста;
  • наименование организации, осуществляющей медицинскую деятельность;
  • занимаемая должность в организации, осуществляющей медицинскую деятельность;
  • сведения о членстве в медицинских профессиональных некоммерческих организациях;
  • иные сведения, необходимые работодателю в соответствии с действующим законодательством Российской Федерации в области персональных данных, с помощью которых можно идентифицировать субъекта персональных данных.

1.4. К персональным данным пациента относятся:

  • фамилия, имя, отчество;
  • пол;
  • дата рождения;
  • место рождения;
  • гражданство;
  • данные документа, удостоверяющего личность;
  • место жительства;
  • место регистрации;
  • дата регистрации;
  • страховой номер индивидуального лицевого счета;
  • номер полиса обязательного медицинского страхования застрахованного лица;
  • анамнез;
  • диагноз;
  • сведения об организации, осуществляющей медицинскую деятельность;
  • вид оказанной медицинской помощи;
  • условия оказания медицинской помощи;
  • сроки оказания медицинской помощи;
  • объем оказанной медицинской помощи, включая сведения об оказанных медицинских услугах;
  • результат обращения за медицинской помощью;
  • серия и номер выданного листка нетрудоспособности;
  • сведения о проведенных медицинских экспертизах, медицинских осмотрах и медицинских освидетельствованиях и их результаты;
  • примененные клинические рекомендации;
  • сведения о медицинском работнике или медицинских работниках, оказавших медицинскую помощь, проводивших медицинские экспертизы, медицинские осмотры и медицинские освидетельствования;
  • иные сведения, необходимые медицинской организации в соответствии с действующим законодательством Российской Федерации в области персональных данных, с помощью которых можно идентифицировать субъекта персональных данных.

1.5. Сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну. Не допускается разглашение сведений, составляющих врачебную тайну, в том числе после смерти человека, лицами, которым они стали известны при обучении, исполнении трудовых, должностных, служебных и иных обязанностей, за исключением случаев, установленных частями 3 и 4 статьи 13 Федерального закона от 21 ноября 2011г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».

1.6. Все персональные сведения о работниках и пациентах медицинская организация может получить только от них самих. В случаях, когда медицинская организация получает необходимые персональные данные работников и пациентов только у третьего лица, медицинская организация уведомляет об этом работников и пациентов и получает от них письменное согласие.

1.7. Медицинская организация сообщает работникам и пациентам о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа работников и пациентов дать письменное согласие на их получение.

1.8. Персональные данные работников и пациентов являются конфиденциальной информацией и не могут быть использованы медицинской организацией или любым иным лицом в личных целях.

1.9. При определении объема и содержания персональных данных работников и пациентов медицинская организация руководствуется настоящим положением, Конституцией Российской Федерации, Трудовым кодексом Российской Федерации, иными федеральными законами.

1.10. Медицинская организация разрабатывает меры защиты персональных данных работников и пациентов.

1.11. Работники и пациенты не должны отказываться от своих прав на неприкосновенность частной жизни.

2. Обработка, хранение и передача персональных данных работника и пациента.

2.1. Обработка персональных данных работника осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работнику в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работника, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.

2.2. Обработка персональных данных пациента осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, установления медицинского диагноза и оказания медицинских услуг, для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья. 2.3. Работодатель обрабатывает в информационных системах с использованием средств автоматизации категории персональных данных работника, обеспечивает их защиту с учетом определенного типа угроз безопасности и уровня защищенности персональных данных.

2.4. Врачи, администраторы, допущенные к персональным данным работников или пациентов, подписывают обязательства о неразглашении персональных данных. В противном случае до обработки персональных данных работников или пациентов не допускаются.

2.5. Администратор вправе передавать персональные данные работника в бухгалтерию организации в случаях, установленных законодательством, необходимых для исполнения обязанностей работников бухгалтерии.

2.6. Руководитель организации может передавать персональные данные работника третьим лицам, только если это необходимо в целях предупреждения угрозы жизни и здоровья работника, а также в случаях, установленных законодательством.

2.7. При передаче персональных данных работника руководитель организации предупреждают лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требуют от этих лиц письменное подтверждение соблюдения этого условия.

2.8. Передача персональных данных по запросам третьих лиц, если такая передача прямо не предусмотрена законодательством Российской Федерации, допускается исключительно с согласия работника на обработку его персональных данных в части их предоставления или согласия на распространение персональных данных.

2.9. Передача информации, содержащей сведения о персональных данных работников или пациентов, по телефону, в связи с невозможностью идентификации лица, запрашивающего информацию, запрещается.

2.10. Персональные данные работника хранятся у руководителя, в сейфе на бумажных носителях: трудовая книжка, личная карточка другие документы и на электронных носителях с ограниченным доступом. Право доступа к персональным данным работника имеет руководитель организации.

2.11. Персональные данные пациента: медицинская карта и другие документы хранятся в архиве, в папках для документов на бумажных носителях, для этого используются специально оборудованные шкафы и сейфы и на электронных носителях с ограниченным доступом. Право доступа к персональным данным пациента имеют: главврач, администратор.

2.12. Медицинская организация осуществляет передачу персональных данных работников и пациентов только при наличии согласия указанных лиц на обработку персональных данных, разрешенных ими для распространения.

2.12. Согласие работника или пациента на обработку персональных данных, разрешенных ими для распространения, оформляется отдельно от иных согласий указанного лица на обработку его персональных данных.

2.13. Молчание или бездействие работника или пациента ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных им для распространения.

2.14. В согласии работника или пациента на обработку персональных данных, разрешенных им для распространения, работник или пациент вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных медицинской организацией неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ медицинской организации в установлении работником или пациентом запретов и условий, предусмотренных в настоящем пункте, не допускается.

2.15. Установленные работником или пациентом запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных им для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.

2.16. Все сведения о передаче персональных данных работников и пациентов учитываются для контроля правомерности использования данной информации лицами, ее получившими.

2.17. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, допускается только в случаях, если работник или пациент дал согласие в письменной форме на обработку своих персональных данных или персональные данные сделаны общедоступными самим субъектом персональных данных.

3. Требования к помещениям, в которых производится обработка персональных данных

3.1. Размещение оборудования информационных систем персональных данных, специального оборудования и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

4. Обязанности медицинской организации по хранению и защите персональных данных работников и пациентов

4.1. Медицинская организация за свой счет обеспечивает защиту персональных данных работников и пациентов от неправомерного их использования или утраты в порядке, установленном законодательством Российской Федерации.

4.2. Медицинская организация принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами. Медицинская организация самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами.

4.3. Медицинская организация знакомит работников и их представителей с настоящим положением и их правами в области защиты персональных данных под расписку.

4.4. Медицинская организация осуществляет передачу персональных данных работников и пациентов только в соответствии с настоящим положением и законодательством Российской Федерации.

4.5. Медицинская организация предоставляет персональные данные работников и пациентов только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей, в соответствии с настоящим положением и законодательством Российской Федерации.

4.6. Медицинская организация не вправе предоставлять персональные данные работников и пациентов в коммерческих целях без их письменного согласия.

4.7. Медицинская организация обеспечивает работникам и пациентам свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных законодательством.

4.8. Медицинская организация по требованию работника и пациента предоставляет ему полную информацию о его персональных данных и обработке этих данных.

5. Права работников и пациентов на защиту их персональных данных

5.1. Работник или пациент в целях обеспечения защиты своих персональных данных, хранящихся в медицинской организации, имеют право:

  • получать полную информацию о своих персональных данных, их обработке, хранении и передаче;
  • определять своих представителей для защиты своих персональных данных;
  • требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушениями настоящего положения и законодательства Российской Федерации. При отказе медицинской организации исключить или исправить его персональные данные работник или пациент вправе заявить в письменном виде о своем несогласии с соответствующим обоснованием;
  • требовать от медицинской организации извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника или пациента, обо всех произведенных в них исключениях, исправлениях или дополнениях.

5.2. Если работник или пациент считает, что медицинская организация осуществляет обработку его персональных данных с нарушением требований Закона о персональных данных или иным образом нарушает его права и свободы, работник или пациент вправе обжаловать действия или бездействие медицинской организации в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

5.3. Работник или пациент вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных им для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений Закона о персональных данных или обратиться с таким требованием в суд.

6. Порядок уничтожения, блокирования персональных данных

6.1. В случае выявления неправомерной обработки персональных данных при обращении работника или пациента медицинская организация осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому работнику или пациенту, с момента такого обращения на период проверки.

6.2. В случае выявления неточных персональных данных при обращении работника или пациента медицинская организация осуществляет блокирование персональных данных, относящихся к этому работнику или пациенту, с момента такого обращения на период проверки, если блокирование персональных данных не нарушает права и законные интересы работника или пациента, или третьих лиц.

6.3. В случае подтверждения факта неточности персональных данных медицинская организация на основании сведений, представленных работником или пациентом, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.

6.4. В случае поступления требования работника или пациента о прекращении распространения его персональных данных передача (распространение, предоставление, доступ) персональных данных, разрешенных таким работником или пациентом для распространения, должна быть прекращена в течение трех рабочих дней с момента получения такого требования.

6.5. В случае обращения работника или пациента в медицинскую организацию с требованием о прекращении обработки персональных данных медицинская организация в срок, не превышающий десяти рабочих дней с даты получения ей соответствующего требования, прекращает их обработку, за исключением случаев, предусмотренных Законом о персональных данных.

7. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работников и пациентов

7.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника или пациента, привлекаются к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном действующим законодательством Российской Федерации.

7.2. Моральный вред, причиненный работнику или пациенту вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Законом о персональных данных, а также требований к защите персональных данных, установленных в соответствии с названным Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации.

8. Заключительные положения

8.1. Настоящее положение вступает в силу с момента его утверждения.

8.2. Медицинская организация обеспечивает неограниченный доступ к настоящему документу.

8.3. Настоящее положение доводится до сведения всех работников персонально под роспись.

ЗАПИСЬ НА МЕДОСМОТР


Режим работы

Понедельник-суббота - с 8:00 до 17:00