+7 928 788-67-75
+7 965 961-67-75
Меню

ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ

ПОЛОЖЕНИЕ

ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

В МЕДИЦИНСКИЙ ОРГАНИЗАЦИИ ООО "ГЛАЗНАЯ КЛИНИКА "ОРИОН" 

(утверждено приказом генерального директора от 01.10.2016 № 16/1-ПД)


ОБЩИЕ ПОЛОЖЕНИЯ


  • Настоящее Положение в отношении обработки персональных данных (далее – Положение) составлено в соответствии с п. 2 ст. 18.1 Федерального закона № 152-ФЗ от 27 июля 2006 года «О персональных данных» и является основополагающим внутренним регулятивным документом медицинской организации ООО «Глазная клиника «ОРИОН» (далее – Организация или Оператор), определяющим ключевые направления его деятельности в области обработки и защиты персональных данных (далее – ПДн), оператором которых является Организация.
  • Положение разработана в целях реализации требований законодательства в области обработки и защиты ПДн и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн в Организации, в том числе защиты прав на неприкосновенность частной жизни, личной, семейной и врачебной тайн.
  • Положение распространяются на отношения по обработке и защите ПДн, полученных Организацией как до, так и после утверждения Положения, за исключением случаев, когда по причинам правового, организационного и иного характера Положения не могут быть распространены на отношения по обработке и защите ПДн, полученных до ее утверждения.
  • Обработка ПДн в Организации осуществляется в связи с выполнением Организацией функций, предусмотренных ее учредительными документами, и определяемых:
  • Федеральным законом от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
  • Федеральным законом № 152-ФЗ от 27 июля 2006 года «О персональных данных»;
  • Постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Постановлением Правительства РФ от 1 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной ФСТЭК России 14.02.2008;
  • Методические рекомендации по оснащению медицинских учреждений компьютерным оборудованием и программным обеспечением для регионального уровня единой государственной информационной системы в сфере здравоохранения, а также функциональными требованиями к ним, утвержденными Минздравсоцразвития России 03.05.2012;
  • Методическими рекомендациями для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости, утвержденными Минздравсоцразвития России 23.12.2009;
  • Методическими рекомендациями по составлению частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений здравоохранения, социальной сферы, труда и занятости, утвержденными Минздравсоцразвития России 23.12.2009;
  • Методическими рекомендациями по проведению в 2011–2012 гг. работ по информационной безопасности для регионального уровня Единой государственной информационной системы в сфере здравоохранения, утвержденными Минздравсоцразвития России (опубликованы 31.08.2011 на официальном сайте Минздравсоцразвития России);
  • иными нормативными правовыми актами Российской Федерации.
  • Кроме того, обработка ПДн в Организации осуществляется в ходе трудовых и иных непосредственно связанных с ними отношений, в которых Организация выступает в качестве работодателя (глава 14 Трудового кодекса Российской Федерации), в связи с реализацией Организацией своих прав и обязанностей как юридического лица.
  • Организация имеет право вносить изменения в настоящее Положение. При внесении изменений в заголовке Положения указывается дата последнего обновления редакции. Новая редакция Положения вступает в силу с момента ее утверждения  генеральным директором, если иное не предусмотрено новой редакцией Положения.
  • Действующая редакция хранится в месте нахождения Организации по адресу: Чеченская Республика, г. Грозный, ул. Шейха Али Митаева, 3, электронная версия Положения – на сайте по адресу: orionclinic.ru.

Термины и принятые сокращения:


  • Персональные данные (ПДн)– любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
  • Обработка персональных данных– любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
  • Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
  • Распространение персональных данных –действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
  • Предоставление персональных данных– действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
  • Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
  • Уничтожение персональных данных– действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
  • Обезличивание персональных данных– действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
  • Автоматизированная обработка персональных данных– обработка персональных данных с помощью средств вычислительной техники;
  • Информационная система персональных данных (ИСПД)– совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
  • Пациент – физическое лицо, которому оказывается медицинская помощь или которое обратилось за оказанием медицинской помощи независимо от наличия у него заболевания и от его состояния;
  • Медицинская деятельность– профессиональная деятельность по оказанию медицинской помощи, проведению медицинских экспертиз, медицинских осмотров и медицинских освидетельствований, санитарно-противоэпидемических (профилактических) мероприятий и профессиональная деятельность, связанная с трансплантацией (пересадкой) органов и (или) тканей, обращением донорской крови и (или) ее компонентов в медицинских целях;
  • Медицинский работник– врач, медицинская сестра, на которого возложены функции по организации и непосредственному оказанию пациенту медицинской помощи в период наблюдения за ним и его лечения.


ПРИНЦИПЫ ОБЕСПЕЧЕНИЯ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ


  • Основной задачей обеспечения безопасности ПДн при их обработке в Организации является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения ПДн, разрушения (уничтожения) или искажения их в процессе обработки.
  • Для обеспечения безопасности ПДн Организация руководствуется следующими принципами:
  • законность: защита ПДн основывается на положениях нормативных правовых актов и методических документов уполномоченных государственных органов в области обработки и защиты ПДн;
  • системность: обработка ПДн в Организации осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности ПДн;
  • комплексность: защита ПДн строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах Организации и других имеющихся в Организации систем и средств защиты;
  • непрерывность: защита ПДн обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки ПДн, в том числе при проведении ремонтных и регламентных работ;
  • своевременность: меры, обеспечивающие надлежащий уровень безопасности ПДн, принимаются до начала их обработки;
  • преемственность и непрерывность совершенствования: модернизация и наращивание мер и средств защиты ПДн осуществляется на основании результатов анализа практики обработки ПДн в Организации с учетом выявления новых способов и средств реализации угроз безопасности ПДн, отечественного и зарубежного опыта в сфере защиты информации;
  • персональная ответственность: ответственность за обеспечение безопасности ПДн возлагается на Работников в пределах их обязанностей, связанных с обработкой и защитой ПДн;
  • минимизация прав доступа: доступ к ПДн предоставляется Работникам только в объеме, необходимом для выполнения их должностных обязанностей;
  • гибкость: обеспечение выполнения функций защиты ПДн при изменении характеристик функционирования информационных систем персональных данных Организации, а также объема и состава обрабатываемых ПДн;
  • специализация и профессионализм: реализация мер по обеспечению безопасности ПДн осуществляются Работниками, имеющими необходимые для этого квалификацию и опыт;
  • эффективность процедур отбора кадров: кадровая положение Организации предусматривает тщательный подбор персонала и мотивацию Работников, позволяющую исключить или минимизировать возможность нарушения ими безопасности ПДн;
  • наблюдаемость и прозрачность: меры по обеспечению безопасности ПДн должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы (прозрачны) и могли быть оценены лицами, осуществляющими контроль;
  • непрерывность контроля и оценки: устанавливаются процедуры постоянного контроля использования систем обработки и защиты ПДн, а результаты контроля регулярно анализируются.
  • В Организации не производится обработка ПДн, несовместимая с целями их сбора. Если иное не предусмотрено федеральным законом, по окончании обработки ПДн в Организации, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывавшиеся Организацией ПНд уничтожатся или обезличиваются.
  • При обработке ПДн обеспечиваются их точность, достаточность, а при необходимости – и актуальность по отношению к целям обработки. Организация принимает необходимые меры по удалению или уточнению неполных или неточных ПДн.

 

ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ


Получение ПДн:


  • Все ПД следует получать от самого субъекта. Если ПДн субъекта можно получить только у третьей стороны, то субъект должен быть уведомлен об этом или от него должно быть получено согласие.
  • Оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения ПДн, характере подлежащих получению ПДн, перечне действий с ПДн, сроке, в течение которого действует согласие и порядке его отзыва, а также о последствиях отказа субъекта дать письменное согласие на их получение.
  • Документы, содержащие ПДн создаются путем:
  • копирования оригиналов документов (паспорт, документ об образовании, свидетельство ИНН, пенсионное свидетельство и др.);
  • внесения сведений в учетные формы;
  • получения оригиналов необходимых документов (трудовая книжка, медицинское заключение, характеристика и др.).
  • Порядок доступа субъекта ПДн к его ПДн, обрабатываемым Организацией, определяется в соответствии с законодательством и определяется внутренними регулятивными документами Организации.
  • Обработка ПДн
  • Обработка персональных данных осуществляется: с согласия субъекта персональных данных на обработку его персональных данных; в случаях, когда обработка персональных данных необходима для осуществления и выполнения возложенных законодательством Российской Федерации функций, полномочий и обязанностей; в случаях, когда осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (далее – персональные данные, сделанные общедоступными субъектом персональных данных).
  • Доступ Работников к обрабатываемым ПДн осуществляется в соответствии с их должностными обязанностями и требованиями внутренних регулятивных документов Организации.
  • Допущенные к обработке ПДн Работники под роспись знакомятся с документами  организации, устанавливающими порядок обработки ПДн, включая документы, устанавливающие права и обязанности конкретных Работников.
  • Организацией производится устранение выявленных нарушений законодательства об обработке и защите ПДн.
  • Цели обработки ПДн:
  • обеспечение организации оказания медицинской помощи населению, в том числе ОМС, а также наиболее полного исполнения обязательств и компетенций в соответствии с Федеральными законами от 21 ноября 2011г № 323-ФЗ «Об основах охраны здоровья граждан Российской Федерации», от 12 апреля 2010 г. № 61-ФЗ «Об обращении лекарственных средств» и от 29 ноября 2010 года № 326-ФЗ «Об обязательном медицинском страховании граждан в Российской Федерации», Правилами предоставления медицинскими организациями платных медицинских услуг, утвержденными Постановлением Правительства Российской Федерации от 4 октября 2012 г. № 1006;
  • осуществление трудовых отношений;
  • осуществление гражданско-правовых отношений.


Категории субъектов персональных данных


  • В Организации обрабатываются ПДн следующих субъектов:
  • физические лица, состоящие с Организацией в трудовых отношениях;
  • физические лица, являющие близкими родственниками сотрудников Организации;
  • физические лица, уволившиеся из Организации;
  • физические лица, являющиеся кандидатами на работу;
  • физические лица, состоящие с Организацией в гражданско-правовых отношениях;
  • физические лица, обратившиеся в Организацию за медицинской помощью.
  • ПДн, обрабатываемые Организацией:
  • данные полученные при осуществлении трудовых отношений;
  • данные полученные для осуществления отбора кандидатов на работу в организацию;
  • данные полученные при осуществлении гражданско-правовых отношений;
  • данные полученные при оказании медицинской помощи.


Состав обрабатываемых в ООО «Глазная клиника «ОРИОНР» персональных данных Граждан,

обратившихся за оказанием медицинских услуг:


  • фамилия
  • имя
  • отчество
  • пол
  • дата рождения
  • территории постоянной регистрации пациента
  • категория граждан
  • СНИЛС
  • территории страхования по ОМС
  • тип документа, подтверждающего факт страхования по ОМС
  • серия документа, подтверждающего факт страхования по ОМС
  • номер документа, подтверждающего факт страхования по ОМС
  • статус представителя пациента (если есть)
  • фамилия представителя пациента
  • имя представителя пациента
  • отчество представителя пациента
  • тип документа, удостоверяющего личность
  • серия документа, удостоверяющего личность
  • номер документа, удостоверяющего личность
  • наименование района по месту регистрации пациента
  • вид населенного пункта
  • наименование населенного пункта по месту регистрации
  • тип наименования улицы
  • наименование улицы
  • дом
  • корпус/строение
  • квартира/комната
  • номер амбулаторной карты или истории болезни
  • дата начала лечения
  • дата окончания лечения
  • исход заболевания
  • исход обращения
  • вид обращения
  • отделение
  • профиль койки
  • диагноз основного заболевания по МКБ–Х
  • диагноз сопутствующего заболевания по МКБ–Х
  • стандарт оказания медицинской помощи
  • условия оказания медицинской помощи
  • медицинские услуги
  • количество услуг
  • количество койко-дней (дней лечения)
  • дата начала выполнения услуги
  • дата окончания выполнения услуги.
  • Состав обрабатываемых в ООО «Глазная клиники «ОРИОН» персональных данных лиц, состоящих в трудовых отношениях с ООО «Глазная клиники «ОРИОН» (работники) или лиц, являющихся соискателями должностей в ООО «Глазная клиники «ОРИОН»:
  • Фамилия;
  • Имя;
  • Отчество;
  • Дата рождения;
  • Пол;
  • СНИЛС;
  • Адрес по прописке;
  • Адрес фактического проживания;
  • Паспортные данные (серия, номер паспорта, кем и когда выдан);
  • ИНН;
  • Информация об образовании (наименование образовательного учреждения, тип образования, сведения о документах, подтверждающие образование: наименование, серия, номер, дата выдачи, квалификация, количество часов, специальность);
  • Информация о трудовом стаже (место работы, должность, период работы, причины увольнения);
  • Телефонный номер (домашний, мобильный);
  • Семейное положение и состав семьи (муж/жена, дети);
  • Информация о знании иностранных языков;
  • Сведения финансового характера;
  • Данные трудового договора (№ трудового договора, дата его заключения, дата начала и дата окончания договора, вид работы, срок действия договора, наличие испытательного срока, режим труда, длительность основного отпуска, длительность дополнительного отпуска, обязанности работника, дополнительные социальные льготы и гарантии, № и число изменения к трудовому договору, характер работы, форма оплаты, категория персонала, условия труда, продолжительность рабочей недели, система оплаты);
  • Сведения о воинском учете (категория запаса, воинское звание, категория годности к военной службе, информация о снятии с воинского учета);
  • Идентификационный номер медицинского работника;
  • Данные об аттестации работников;
  • Данные о повышении квалификации;
  • Данные о наградах, медалях, поощрениях, почетных званиях;
  • Информация о приеме на работу, должности, кадровых передвижениях, увольнении;
  • Информация об отпусках;
  • Информация о командировках;
  • Данные больничных листов;
  • Информация о негосударственном пенсионном обеспечении;
  • Банковские реквизиты лицевого счета.


Обработка персональных данных ведется:


  • с использованием средств автоматизации.
  • без использования средств автоматизации.
  • Хранение ПДн
  • ПДн субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
  • ПДн, зафиксированные на бумажных носителях, хранятся в запираемых шкафах, либо в запираемых помещениях с ограниченным правом доступа (регистратура).
  • ПДн субъектов, обрабатываемые с использованием средств автоматизации в разных целях, хранятся в разных папках (вкладках).
  • Не допускается хранение и размещение документов, содержащих ПД, в открытых электронных каталогах (файлообменниках) в ИСПД.
  • Хранение ПДн в форме, позволяющей определить субъекта ПДн, осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
  • Уничтожение ПДн
  • Уничтожение документов (носителей), содержащих ПДн производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок. Для уничтожения бумажных документов допускается применение шредера.
  • ПДн на электронных носителях уничтожаются путем стирания или форматирования носителя.
  • Уничтожение производится комиссией. Факт уничтожения ПДн подтверждается документально актом об уничтожении носителей, подписанным членами комиссии.
  • Передача ПДн
  • Организация передает ПДн третьим лицам в следующих случаях:
  • субъект выразил свое согласие на такие действия;
  • передача предусмотрена российским или иным применимым законодательством в рамках установленной законодательством процедуры.
  • Перечень лиц, которым передаются ПДн
  • Третьи лица, которым передаются ПДн:
  • Пенсионный фонд РФ для учета (на законных основаниях);
  • Налоговые органы РФ (на законных основаниях);
  • Фонд социального страхования (на законных основаниях);
  • Территориальный фонд обязательного медицинского страхования (на законных основаниях);
  • страховые медицинские организации по обязательному и добровольному медицинскому страхованию (на законных основаниях);
  • банки для начисления заработной платы (на основании договора);
  • судебные и правоохранительные органы в случаях, установленных законодательством;
  • бюро кредитных историй (с согласия субъекта);
  • юридические фирмы, работающие в рамках законодательства РФ, при неисполнении обязательств по договору займа (с согласия субъекта).


Защита персональных данных


  • В соответствии с требованиями нормативных документов Организацией создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.
  • Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.
  • Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с сотрудниками, партнерами и сторонними лицами, защиты информации в открытой печати, публикаторской и рекламной деятельности, аналитической работы.
  • Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту ПДн.

 

Основными мерами защиты ПДн, используемыми Организацией, являются:


  • Назначение лица ответственного за обработку ПДн, которое осуществляет организацию обработки ПДн, обучение и инструктаж, внутренний контроль за соблюдением учреждением и его работниками требований к защите ПДн;
  • Определение актуальных угроз безопасности ПДн при их обработке в ИСПД, и разработка мер и мероприятий по защите ПДн;
  • Разработка политики в отношении обработки персональных данных;
  • Установление правил доступа к ПДн, обрабатываемым в ИСПД, а также обеспечения регистрации и учета всех действий, совершаемых с ПДн в ИСПД;
  • Установление индивидуальных паролей доступа сотрудников в информационную систему в соответствии с их производственными обязанностями;
  • Применение прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, учет машинных носителей ПДн, обеспечение их сохранности;
  • Сертифицированное антивирусное программное обеспечение с регулярно обновляемыми базами;
  • Сертифицированное программное средство защиты информации от несанкционированного доступа;
  • Сертифицированные межсетевой экран и средство обнаружения вторжения;
  • Соблюдение условий, обеспечивающих сохранность ПДн и исключающие несанкционированный к ним доступ, оценка эффективности принимаемых и реализованных мер по обеспечению безопасности ПДн
  • Установление правил доступа к обрабатываемым ПДн, обеспечение регистрации и учета действий, совершаемых с ПДн, а также обнаружение фактов несанкционированного доступа к персональным данным и принятия мер;
  • Восстановление ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  • Обучение работников Организации непосредственно осуществляющих обработку персональных данных, положениям законодательства Российской Федерации о персональных данных, в том числе требованиям к защите персональных данных, документами, определяющими политику Организации в отношении обработки персональных данных, локальным актам по вопросам обработки персональных данных;
  • Осуществление внутреннего контроля и аудита.
  • В случае отказа Организации в найме соискателю и отклонения кандидатуры соискателя уничтожить  персональные данные в течение 30 календарных дней (ч. 4 ст. 21 Закона № 152-ФЗ).


ОСНОВНЫЕ ПРАВА СУБЪЕКТА ПДн И ОБЯЗАННОСТИ ОРГАНИЗАЦИИ


  • Основные права субъекта ПДн. Субъект ПДн имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
  • подтверждение факта обработки персональных данных оператором;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые оператором способы обработки персональных данных;
  • наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом «О персональных данных»;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.
  • Субъект ПДн вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.


Организация обязана:


  • при сборе ПДн предоставить информацию об обработке его ПДн;
  • в случаях если ПДн были получены не от субъекта ПДн уведомить субъекта;
  • при отказе в предоставлении ПДн субъекту разъясняются последствия такого отказа;
  • опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн, к сведениям о реализуемых требованиях к защите ПДн;
  • принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты ПДн от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения ПДн а также от иных неправомерных действий в отношении ПДн;
  • давать ответы на запросы и обращения субъектов ПДн, их представителей и уполномоченного органа по защите прав субъектов ПДн.