ООО «СИГМА МЕД»
ПРИКАЗ № 4
О защите персональных данных в клинике
Город Калининград | «25» сентября 2020 года |
Руководствуясь Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных»,
ПРИКАЗЫВАЮ:
- Возложить на себя ответственность за организацию и обеспечение защиты персональных данных в организации.
- Заключить со специалистом в сфере IT «АйТи Системс» договор на информационно-консультационные услуги.
- Разработать приказы, утверждающие перечень обрабатываемых персональных данных в клинике, порядок обработки персональных данных без средств автоматизации, порядок уничтожения персональных данных, порядок обезличивания персональных данных для целей статистики и научных целей.
- Разработать положение о защите персональных данных в клинике.
- Разработать Политику в отношении обработки персональных данных, разместить ее на официальном сайте медицинской организации.
- Разработать согласия пациентов на обработку персональных данных, согласия работников на обработку персональных данных.
- Разработать средства защиты информационных систем персональных данных на основании моделей угроз.
- Оценить соответствие средств защиты требованиям законов и иных подзаконных актов.
- Уведомить под подпись персонал, обрабатывающий персональные данные, о факте обработки, классе обрабатываемых данных, правилах обработки.
- Проводить периодический контроль эффективности применяемых мер защиты персональных данных.
- Контроль за исполнением настоящего приказа оставляю за собой.
Директор _______________ _________________________________
ООО «СИГМА МЕД»
Приложение№1 к
Приказу №4 от 25.09.2020г
Директор Степанов Е.М
«25» 09.2020 года
Политика обработки персональных данных в медицинской организации
1. Общие положения
1.1. Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в ООО «СИГМА МЕД» с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, гарантируемых Конституцией.
1.2. Политика обработки персональных данных разработана в соответствии с Федеральными законами от 27.07.2006 № 152-ФЗ «О персональных данных» и от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»; постановлениями Правительства от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; приказом ФСТЭК от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
1.3. Настоящая Политика раскрывает принципы, порядок и условия обработки персональных данных физических лиц при обращении за медицинской помощью в медицинскую организацию.
1.4. Принципы, порядок и условия обработки персональных данных кадрового состава клиники, а также персональных данных, обрабатываемых в процессе исполнения договорных обязательств в процессе повседневной деятельности, в настоящей Политике не рассматриваются и регламентируются внутренними нормативными документами медицинской организации.
2. Категории обрабатываемых персональных данных
2.1. Персональные данные пациентов (лиц, являющихся стороной договора на оказание медицинских услуг), которые подлежат обработке:
– паспортные данные;
– номера телефонов для связи с пациентом (контактная информация);
– информация о состоянии здоровья, наличии или отсутствии заболеваний, перечисленных в анкете о здоровье пациента, оформляемой в процессе сбора анамнеза.
2.2. Перечень формируемых документов при обращении пациента в медицинскую организацию предусматривается Гражданским кодексом, Федеральным законом от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», постановлением Правительства от 04.10.2012 № 1006 «Об утверждении правил предоставления медицинскими организациями платных медицинских услуг», приказом Минздравсоцразвития от 02.05.2012 № 441н «Об утверждении порядка выдачи медицинскими организациями справок и медицинских заключений».
3. Цели и сроки обработки персональных данных
3.1. Цели обработки персональных данных пациентов, обратившихся в медицинскую организацию:
– исполнение договора на оказание медицинских услуг, стороной которого является пациент;
– медико-профилактические цели (установление медицинского диагноза, оказание медицинских услуг, контроль качества оказания медицинской помощи и др.).
3.2. Сроки обработки персональных данных напрямую зависят от сроков хранения гражданско-правовых договоров и медицинской документации и составляют:
– для персональных данных, полученных в связи с заключением договора на оказание медицинских услуг, – 5 лет;
– для персональных данных специальных категорий (данные о здоровье) – 25 лет в медицинской организации, 75 лет – в архиве.
4. Принципы и условия обработки персональных данных
4.1. Обработка персональных данных в ООО «СИГМА МЕД» производится на основе следующих принципов:
– законности и справедливости целей и способов обработки;
– ограничения обработки персональных данных достижением конкретных, заранее определенных и законных целей;
– недопущения обработки персональных данных, несовместимой с целями сбора персональных данных;
– недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
– обработки только тех персональных данных, которые отвечают целям их обработки;
– соответствия содержания и объема обрабатываемых персональных данных заявленным целям обработки;
– недопущения обработки избыточных персональных данных по отношению к заявленным целям их обработки;
– уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей.
4.2. Медицинская организация обрабатывает персональные данные только при наличии хотя бы одного из следующих условий:
– обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
– обработка персональных данных необходима для достижения целей, предусмотренных законом (подп. 4 п. 2 ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ);
– обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных;
– производится обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (общедоступные данные);
– обрабатываются персональные данные, подлежащие опубликованию или обязательному раскрытию в соответствии с федеральным законом;
– обработка персональных данных производится в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.
4.3. Медицинская организация и иные лица, получившие доступ к персональным данным в силу трудовых обязанностей, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
5. Права субъекта персональных данных
5.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе без принуждения или введения в заблуждение с чьей-либо стороны.
5.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами.
5.3. Субъект персональных данных вправе требовать уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
5.4. Запрещается принимать на основании исключительно автоматизированной обработки персональных данных решения, порождающие юридические последствия в отношении субъекта персональных данных или иным образом затрагивающие его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме субъекта персональных данных.
6. Обеспечение безопасности персональных данных
6.1. Безопасность персональных данных, обрабатываемых медицинской организацией, обеспечивается реализацией правовых, организационных, технических и программных мер, необходимых и достаточных для обеспечения требований федерального законодательства в области защиты персональных данных.
6.2. Меры по обеспечению безопасности персональных данных включают в себя, в частности:
– назначение ответственного за организацию обработки персональных данных;
– издание локальных правовых актов, регулирующих права и обязанности оператора персональных данных, описывающих систему мер по защите персональных данных, определяющих доступ к информационным системам персональных данных;
– определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
– применение методов (способов) защиты информации;
– оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
– учет машинных носителей персональных данных;
– обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
– восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
– установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
– контроль принимаемых мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
7. Заключительные положения
7.1. Настоящая Политика является локальным правовым актом, общедоступна и подлежит размещению на официальном сайте медицинской организации.
7.2. Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных.