Положение в отношении обработки персональных данных

Политика «ООО Надежда-Мед«

в отношении обработки персональных данных

УТВЕРЖДАЮ
Генеральный директор
ООО «Надежда-Мед»
врач высшей категории
доктор наук профессор
А.Г.Кривцов
25.09.2015 г

ПОЛОЖЕНИЕ

о порядке организации обработки и обеспечении безопасности персональных данных
в информационных системах общества с ограниченной ответственностью
ООО «Надежда-Мед» г. Ростов -на-Дону

                                                                     Общие положения.

1.1 Настоящее Положение разработано на основании: статей Конституции Российской Федерации; Трудового Кодекса Российской Федерации; Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»( с изменениями на 31 .12..2014г) ; Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; Требований к защите персональных данным ных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012г. №1119; Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687.
1.2 Настоящим Положением определяется порядок обращения с персональными данными пациентов (субъектов персональных данных), которые обращаются в ООО «Надежда-Мед» (далее — Учреждение) и персональными данными работников Учреждения, которые необходимы работодателю в связи с трудовыми отношениями.
1.3 В отношении сведений о субъектах персональных данных, позволяющих идентифицировать его личность, за исключением обезличенных и общедоступных персональных данных, в установленных федеральными законами случаях, должна обеспечиваться конфиденциальность таких сведений.
1.4 Защита персональных данных пациента от неправомерного их использования или утраты должна быть обеспечена оператором за счет его средств в порядке, установленном Федеральным Законом и другими нормативными документами Российской Федерации.
1.5 Положение является обязательным для исполнения всеми работниками Учреждения, имеющими доступ к персональным данным.
1.6 Настоящее Положение не распространяется на отношения, возникающие при:
— организации хранения, комплектования, учета и использования содержащих персональные данные архивных документов в соответствии с законодательством об архивном деле в Российской Федерации;
— обработке персональных данных, отнесенных в установленном порядке к сведениям, составляющим государственную тайну.
1.7 В случаях, не указанных в настоящем Положении, следует руководствоваться действующими федеральными законами и нормативными правовыми актами Российской Федерации, регулирующими порядок обработки персональных данных.
1.8 Настоящее Положение вступает в силу с момента его утверждения руководителем Учреждения и действует бессрочно, до замены его новым Положением.
1.9 Все изменения в Положение вносятся приказом.
1.10 Все работники Учреждения должны быть ознакомлены с настоящим Положением под роспись.

                                     2. Основные понятия персональных данных.

Для целей настоящего Положения используются следующие основные понятия:
— автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
— блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
— врачебная тайна – соблюдение конфиденциальности информации о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иных сведений, полученных при его обследовании и лечении;
— документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель;
— документы, содержащие персональные сведения пациента – формы медицинской и иной учетно-отчетной документации, включающие сведения о персональных данных;
— информация – сведения (сообщения, данные) независимо от формы их представления;
— информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
— конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения и не раскрывать третьим лицам персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
— обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
— обработка персональных данных – любое действия (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
— обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека;
— общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
— оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
— пациент – физическое лицо (субъект), обратившееся в Учреждение с целью получения медицинского обслуживания, либо состоящее в иных гражданско-правовых отношениях с Учреждением по вопросам получения медицинских услуг.
— персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
— персональные данные пациента – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, серия и номер паспорта, адрес регистрации и фактического проживания, идентификационный номер налогоплательщика (ИНН), страховое свидетельство государственного пенсионного страхования (СНИЛС), семейное, социальное положение, образование, профессия, должность, специальность, серия и номер страхового медицинского полиса и его действительность, номер амбулаторной карты, номер истории болезни, сведения о состоянии здоровья, в том числе группа здоровья, группа инвалидности и степень ограничения к трудовой деятельности, состояние диспансерного учета, зарегистрированные диагнозы по результатам обращения пациентов к врачу, в том числе при прохождении диспансеризации и медицинских осмотров, информация об оказанных медицинских услугах, в том числе о проведенных лабораторных анализах и исследованиях и их результатах, выполненных оперативных вмешательствах, случаях стационарного лечения и их результатах, о выданных листах временной нетрудоспособности с указанием номера листа нетрудоспособности и периода нетрудоспособности, регистрация прикрепления на территории обслуживания пациента – дата и признак прикрепления, информация о выписанных и отпущенных лекарственных средствах и изделиях медицинского назначения, информация о наличии льгот (по категориям), о документах, подтверждающих право на льготу и право на льготное лекарственное обеспечение, дата и причина смерти гражданина в случае его смерти;
— предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
— распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
— уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

                                               3. Персональные данные работника.

3.1 В состав персональных данных работников Учреждения входят документы, содержащие информацию о паспортных данных, образовании, отношении к воинской обязанности, семейном положении, месте жительства, а также о предыдущих местах их работы.
3.2 Обработка персональных данных работника осуществляется на основании его письменного согласия, за исключением случаев, прямо предусмотренных действующим законодательством РФ.
3.3 Комплект документов, сопровождающий процесс оформления трудовых отношений работника в Учреждение при его приеме, переводе и увольнении.
3.3.1 Информация, представляемая работником при поступлении на работу в Учреждение, должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:
— паспорт или иной документ, удостоверяющий личность;
трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;
— страховое свидетельство государственного пенсионного страхования;
— документы воинского учета – для военнообязанных и лиц, подлежащих воинскому учету;
документ об образовании, о квалификации или наличии специальных знаний – при поступлении на работу, требующую специальных знаний или специальной подготовки;
— свидетельство о присвоении ИНН (при его наличии у работника).
3.3.2 При оформлении работника в Учреждение работником кадрового органа заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:
общие сведения (Ф.И.О. работника, дата рождения, место рождения, гражданство, образование, профессия, стаж работы, состояние в браке, паспортные данные);
— сведения о воинском учете;
— данные о приеме на работу;
В дальнейшем в личную карточку вносятся:
— сведения о переводах на другую работу;
— сведения об аттестации;
— сведения о повышении квалификации;
— сведения о профессиональной переподготовке;
— сведения о наградах (поощрениях), почетных званиях;
— сведения об отпусках;
— сведения о социальных льготах;
— сведения о месте жительства и контактных телефонах.
3.3.3 В кадровом органе создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде:
Документы, содержащие персональные данные работников (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; комплекс материалов по анкетированию, тестированию; проведению собеседований с кандидатом на должность; подлинники и копии приказов по личному составу; личные дела и трудовые книжки работников; дела, содержащие основания к приказу по личному составу; дела, содержащие материалы аттестации работников; служебных расследований; справочно-информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения).
3.4 Работник, как субъект персональных данных, имеет право на получение сведений:
об операторе, о месте нахождения оператора,
о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных,
на подтверждение факта обработки персональных данных оператором, а также цели. такой обработки;
— о способах обработки персональных данных, применяемые оператором;
о лицах, которые имеют доступ к персональным данным или которым может быть
предоставлен такой доступ;
— о перечне обрабатываемых персональных данных и источник их получения;
— о сроках обработки персональных данных, в том числе сроки их хранения;
— о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных;
— на ознакомление с персональными данными, за исключением случая, когда предоставление персональных данных нарушает конституционные права и свободы других лиц.
3.5 Работник имеет право:
— требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
— доступа к своим персональным данным при личном обращении к представителю Учреждения при наличии паспорта;
— доступа к своим персональным данным при направлении письменного запроса, который должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных;
— оформить доверенность на право доступа к его персональным данным;
принимать предусмотренные законом меры по защите своих прав.
                            4. Персональные данные пациентов.
4.1 В состав персональных данных пациентов Учреждения входят документы, содержащие информацию о паспортных данных, страховом полисе ОМС, амбулаторная карта больного, а так же иные документы сопровождающие оказание медицинских услуг.
4.2. Получение персональных данных пациента преимущественно осуществляется.            — путем представления пациентом письменного согласия на обработку персональных данных, за исключением случаев прямо предусмотренных действующим законодательством РФ.
— в случае недееспособности пациента или не достижения пациентом возраста 15 лет согласие на обработку его персональных данных дает в письменной форме его законный представитель.
— в случае смерти пациента согласие на обработку его персональных данных дают в письменной форме наследники пациента, если такое согласие не было дано пациентом при его жизни.
4.3 Пациент, как субъект персональных данных, в том числе специальной категории персональных данных, имеет право на получение сведений:
— об операторе, о месте нахождения оператора,
— о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных,
— на подтверждение факта обработки персональных данных оператором, а также цели такой обработки;
— о способах обработки персональных данных, применяемые оператором;
— о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
— о перечне обрабатываемых персональных данных и источник их получения;
— о сроках обработки персональных данных, в том числе сроки их хранения;
— о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных;
— на ознакомление с персональными данными, за исключением случая, когда предоставление персональных данных нарушает конституционные права и свободы других лиц.
4.4 Пациент имеет право:
— требовать от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
— доступа к своим Персональным данным при личном обращении к представителю Оператора при наличии паспорта;
— доступа к своим Персональным данным при направлении письменного запроса, который должен содержать номер основного документа, удостоверяющего личность субъекта Персональных данных, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта Персональных данных;
— оформить доверенность на право доступа к его персональным данным;                                    — предоставить право оператору раскрыть свои персональные данные широкому кругу пользователей ( например, дать видео- интервью  врачу о результатах лечения и установить это видео на сайте Оператора). Такое право Оператор может получить только лишь в виде письменного согласия пациента, представленного по определенной форме, утвержденной Законодателем. 

4.5 На первичном врачебном приеме пациент представляет следующие документы, содержащие персональные данные о себе:
— паспорт или иной документ, удостоверяющий личность, гражданство;
— страховой полис обязательного медицинского страхования;
— в отдельных случаях с учетом специфики обследования в учреждение здравоохранения действующим законодательством РФ может предусматриваться необходимость предъявления дополнительных документов.

                                5. Сбор, обработка и хранение персональных данных.

5.1 Все персональные данные субъекта следует получать у него самого.             5.2.Информация о персональных данных субъекта предоставляется оператору субъектом устно, либо путем заполнения личных карточек формы Т-2 для работников (медицинских карт для пациентов), которые хранятся в личном деле в отделе кадров (регистратуре/архиве). Если персональные данные субъекта возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом и от него должно быть получено письменное согласие (либо письменный отказ). В письменном уведомлении оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных (например, оформление запроса в медицинское учреждение о прохождении обследования и лечения и т.п.) и последствиях отказа субъекта дать письменное согласие на их получение.
5.2 Учреждение не имеет права получать и обрабатывать персональные данные субъекта о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях.
5.3 Обработка персональных данных должна осуществляться на основе принципов:
— обработка персональных данных должна осуществляться на законной и справедливой основе;
— обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
— не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
— обработке подлежат только персональные данные, которые отвечают целям их обработки;
— содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки;
— при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных.
— хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом
5.3 Согласие субъекта персональных данных не требуется в случаях, определенных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11, в том числе:
— обработка персональных данных осуществляется на основании федерального закона, устанавливающего цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия Учреждения;
— обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
В остальных случаях при обработке персональных данных необходимо руководствоваться ст. 6, 9-11 Федерального закона от 27 июля 2006 № 152-ФЗ.
5.4 Письменное согласие субъекта на обработку своих персональных данных должно включать в себя:
— фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
— наименование и адрес Учреждения, получающего согласие субъекта персональных данных;
— цель обработки персональных данных;
— перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
— наименование и адрес лица, осуществляющего обработку персональных данных по поручению Учреждения, если обработка будет поручена такому лицу;
— перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
— срок, в течение которого действует согласие, а также способ его отзыва, если иное не установлено федеральным законом;
— подпись.
5.5 Запрещается требовать от лица, поступающего на работу (или прием), документы помимо предусмотренных Трудовым кодексом РФ, иными федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации.
5.6 Персональные данные субъектов хранятся в электронных базах данных и на бумажных носителях в помещении отдела кадров (регистратуре). Для этого используются специально оборудованные шкафы и сейфы. Личные дела уволенных (прошедших обследование, лечение) субъектов хранятся в архиве Учреждения.
5.7 В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, электронные базы). В общедоступные источники персональных данных могут включаться фамилия, имя, отчество, должность, подразделение, служебные телефоны и адрес электронной почты.
5.8 Сведения о начислении и выплате заработной платы работникам Учреждения хранятся в электронных базах данных и на бумажных носителях в помещении управления экономики и бухгалтерского учета. По истечении сроков хранения, установленных законодательством РФ, данные сведения передаются в архив Учреждения.
5.9 Конкретные обязанности по ведению, хранению личных дел субъектов, заполнению, хранению и выдаче трудовых книжек, иных документов, отражающих персональные данные субъектов, возлагается на работников отдела кадров и регистратуры, а по хранению личных дел уволенных (обследованных, пролеченных) субъектов – на работников архива и закрепляются в должностных инструкциях.
5.10 Персональные данные пациентов хранятся в электронных базах данных, которые могут быть подключены к локальной сети организации, а так же на бумажных носителях.
5.11 Доступ к электронным базам данных ограничен паролем. Возможна передача персональных данных пациентов между структурными подразделениями с использованием учтенных съемных носителей или по внутренней сети Учреждения с использованием технических и программных средств защиты информации, с доступом только для работников Учреждения, допущенных к работе с персональными данными пациентов Приказом Главного врача и только в объеме, необходимом данным работникам для выполнения ими своих должностных обязанностей.
5.12 Бумажными носителями персональных данных являются:
— медицинская карта амбулаторного больного, которая заводится на каждого обратившегося в Учреждение за оказанием медицинском помощи при первом обращении и хранится в регистратуре Учреждения. Медицинская карта передается врачам-специалистам Учреждения при личном обращении пациента в Учреждение, по окончании приема медицинская карта сдается медсестрой врача-специалиста в регистратуру Учреждения;
— медицинская карта больного дневного стационара при больничном учреждении, дневного стационара при амбулаторно-поликлиническом учреждении.
— журналы и другие формы медицинской документации, содержащие персональные данные пациентов, оформляются и хранятся в регистратуре, кабинетах врачей Учреждения в соответствии с требованиями действующих приказов.
— прочие документы, используемые при оказании медицинской помощи и содержащие персональные данные пациентов (акты, направления, договоры, квитанции и пр.), после оформления передаются работнику, допущенному к работе с персональными данными, в должностные обязанности которого входит обработка этих данных.
Хранение оконченных производством документов, содержащих персональные данные пациентов, осуществляется в архиве Учреждения.
5.10 Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.
5.11 При получении сведений, составляющих персональные данные субъектов заинтересованные лица имеют право получать только те персональные данные, которые необходимы для выполнения конкретных функций и заданий.

                            6. Передача персональных данных субъектов ПД

6.1 При передаче персональных данных субъектов сотрудники Учреждения, имеющие доступ к персональным данным, должны соблюдать следующие требования:
6.1.1 Не сообщать персональные данные субъекта третьей стороне без письменного согласия работника субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в других случаях, предусмотренных Трудовым кодексом РФ или иными федеральными законами.
6.1.2 Не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия.
6.1.3 Предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
6.1.4 Разрешать доступ к персональным данным субъектов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные субъектов, которые необходимы для выполнения конкретных функций.
6.1.5 Все сведения о передаче персональных данных субъекта должны регистрироваться в Журнале учета передачи персональных данных в целях контроля правомерности использования данной информации лицами, ее получившими. В журнале фиксируются сведения о лице, направившим запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также отмечается какая именно информация была передана. 

                                    7. Защита персональных данных.

7.1 Защита персональных данных в Учреждении представляет собой принятие правовых, организационных и технических мер, направленных на:
— обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
— соблюдение конфиденциальности информации ограниченного доступа;
— реализацию права на доступ к информации.
7.2 В целях обеспечения безопасности персональных данных при их обработке в информационных системах Учреждения:
— установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ, в соответствии с Приложением №3 настоящего Положения;
— обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях;
— обеспечивать пропускной режим в соответствии с утвержденными документами по охране и осуществлению пропускного режима;
— помещения, в которых ведется работа с персональными данными, должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц;
— доступ к информации в электронном виде должен осуществляться с использованием парольной защиты, а в информационных системах персональных данных с использованием средств автоматизации в соответствии с нормативными документами;
7.3 Обеспечение безопасности персональных данных в информационных системах персональных данных осуществляется в соответствии с требованиями ст. 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных»,                                                                                                       требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012г. №1119,                                                         нормативными и руководящими документами уполномоченных федеральных органов исполнительной власти.
7.4 Мероприятия по обеспечению безопасности персональных данных проводятся в соответствии с «Составом и содержанием организационным и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденных приказом ФСТЭК России от 18.02.2013 № 21.
7.5 Выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых Учреждением угроз безопасности персональных данных (модели угроз) и в зависимости от уровня защищенности информационной системы, определенного в соответствии с «Требованиями к защите персональных данных при их обработке в информационных системах персональных данных», утвержденными Приказом ФСТЭК России от 1 ноября 2012 г. №1119.
7.6 Выбранные и реализованные методы и способы защиты информации в информационной системе должны обеспечивать нейтрализацию предполагаемых угроз безопасности персональных данных при их обработке в информационных системах в составе системы защиты персональных данных.
7.7. Обеспечение безопасности персональных данных в информационных системах персональных данных без использования средств автоматизации осуществляется в соответствии с требованиями Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687.
7.8 Сотрудники Учреждения, имеющие доступ к персональным данным, обязаны принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, модифицирования, блокирования, копирования, распространения, а также от иных неправомерных действий в отношении данной информации.
                    8. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работников
— Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим российским законодательством.
                      9. Мероприятия по обеспечению информационной безопасности при работе с персональными данными в медицинской организации
9.1. Назначается ответственный за организацию обработки персональных данных во исполнение норм ст. 22.1 Закона № 152-ФЗ приказом руководителя . В его обязанности согласно закону входит:
• осуществление контроля над соблюдением оператором и сотрудниками медицинской организации законодательства о персональных данных и требований к их защите;
• доведение до сведения работников медицинской организации положений законодательства и иных актов (например, локальных актов учреждения), регламентирующих процессы обработки персональных данных, и требований к их защите;
• организация приема и обработки обращений и запросов субъектов персональных данных (работников медицинской организации и пациентов) и осуществление контроля над их приемом и обработкой.
9.2.Ответственный сотрудник получает указания непосредственно от руководства медицинской организации и подотчетен только ему (ч. 2 ст. 22.1 Закона № 152-ФЗ). 9.3.Соответствующие изменения и дополнения необходимо внести и в должностную инструкцию работника, ответственного за указанную часть работы в учреждении здравоохранения.
                     10.Обследование информационной системы медицинской организации
10.1.Обследование информационной системы осуществляется с целью систематизации сведений об организации и обрабатываемых данных, выделения систем обработки персональных данных и их классификации в соответствии со ст. 19 Закона № 152-ФЗ, нормативными и методическими документами.
10.2.При проведении данного этапа работы по обеспечению информационной безопасности при обработке персональных данных необходимо руководствоваться следующими документами:
• постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной ФСТЭК России 14.02.2008;
• Методическими рекомендациями по оснащению медицинских учреждений компьютерным оборудованием и программным обеспечением для регионального уровня единой государственной информационной системы в сфере здравоохранения, а также функциональными требованиями к ним, утвержденными Минздравсоцразвития России 03.05.2012;
• Методическими рекомендациями для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости, утвержденными Минздравсоцразвития России 23.12.2009;
• Методическими рекомендациями по составлению частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений здравоохранения, социальной сферы, труда и занятости, утвержденными Минздравсоцразвития России 23.12.2009;
• Методическими рекомендациями по проведению в 2011–2012 гг. работ по информационной безопасности для регионального уровня Единой государственной информационной системы в сфере здравоохранения, утвержденными Минздравсоцразвития России (опубликованы 31.08.2011 на официальном сайте Минздравсоцразвития России).
                        11.Создание системы обеспечения информационной безопасности в медицинской организации
11.1Субъекты персональных данных (работники медицинской организации и пациенты), передавая сведения о себе, вправе рассчитывать на соблюдение конфиденциальности при использовании данной информации в медицинской организации. Это подразумевает не только применение технических средств защиты (специальные сертифицированные программные и технические средства защиты информации), но и проведение комплекса организационных мероприятий, направленных на предотвращение потери, искажения и несанкционированного доступа к персональным данным.
11.2.Указанный комплекс мероприятий должен включать разработку следующей необходимой документации: должностные инструкции, положения об обработке персональных данных, приказы, журналы (журнал регистрации выявленных нарушений, журнал регистрации используемого программного обеспечения, журнал по учету носителей информации, содержащих персональные данные, журнал учета обращений граждан (субъектов персональных данных)), обязательства медицинского работника о неразглашении данных, регламенты взаи модействия между подразделениями медицинской организации, регламенты использования программного обеспечения, ресурсов сети Интернет, требования к профессиональной подготовке персонала
                12. Направление  уведомления об обработке персональных данных
12.1.Согласно ст. 23 Закона № 152-ФЗ Роскомнадзор является уполномоченным органом по защите прав субъектов персональных данных, который ведет реестр операторов.         12.2. В соответствии со ст. 22 данного закона оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку.
12.3.При этом медицинские организации не обязаны подавать уведомление об обработке следующих данных:
• обрабатываемых в соответствии с Трудовым кодексом РФ;
• полученных в связи с заключением договора, стороной которого является субъект персональных данных, если данные не распространяются без согласия лица и используются оператором исключительно для исполнения договора;
• сделанных субъектом персональных данных общедоступными;
• включающих только фамилии, имена и отчества;
• необходимых в целях однократного пропуска лица на территорию, на которой находится оператор, или в иных аналогичных целях;
• включенных в информационные системы персональных данных, имеющие статус государственных автоматизированных информационных систем;
• обрабатываемых без использования средств автоматизации в соответствии с законодательством, устанавливающим требования к обеспечению безопасности данных при их обработке.
12.4. Форма уведомления и рекомендации по ее заполнению содержатся в приказе Роскомнадзора от 19.08.2011 № 706 «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных».
12.5. За непредоставление или несвоевременное предоставление уведомления на организацию может быть наложен штраф в размере от 3 тыс. до 5 тыс. руб., а на должностное лицо – от 300 до 500 руб. (ст. 19.7 Кодекса РФ об административных правонарушениях).
                             13.Получение, учет и хранение согласия субъекта персональных данных на обработку персональных данных
13.1. Согласно законодательству, обработка специальных категорий персональных данных должна осуществляться с письменного согласия субъекта персональных данных (ст. 6, 9, 10 Закона № 152-ФЗ, ч. 3 ст. 13 Закона № 323-ФЗ).
13.2. Состав сведений, указываемых в согласии пациента на обработку его персональных данных, перечислен в ст. 9 Закона № 152-ФЗ:
• фамилия, имя, отчество, адрес пациента; реквизиты документа, удостоверяющего его личность;
• наименование и адрес оператора, получающего согласие;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие пациента;
• наименование и адрес лица, осуществляющего обработку персональных данных по поручению оператора;
• перечень действий с персональными данными, описание способов обработки;
• срок, в течение которого действует согласие, способ его отзыва;
• подпись пациента.
13.3. Пмсьменного согласия работника медицинской организации на обработку его персональных данных не требуется. Также нет необходимости в его оформлении при передаче информации в федеральный регистр медицинских и фармацевтических работников, поскольку это предусмотрено ст. 92 и 93 Закона № 323-ФЗ.
13.4. Необходимость оформления письменного согласия работника возникает, если в работе медицинской организации используется фотография работника (биометрические персональные данные), например, размещается на информационном стенде, в сети Интернет, на сайте учреждения (ст. 11 Закона № 152-ФЗ).
13.5. Что касается пациента, то его согласие на обработку персональных данных не требуется в следующих случаях:
• медицинская помощь оказывается по программе обязательного медицинского страхования (ОМС), и персональные данные передаются только в территориальный фонд ОМС и страховую организацию (ст. 38, 39, 43, 44 и 48 Федерального закона от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании»);
• персональные данные пациента о состоянии его здоровья передаются третьим лицам (ч. 4 ст. 13 Закона № 323-ФЗ):
– если пациент в результате своего состояния не способен выразить свою волю, но ему необходимо лечение;
– при угрозе распространения инфекционных заболеваний, массовых отравлений;
– по запросу органов дознания и следствия, суда, органа уголовно-исполнительной системы;
– в случае оказания медицинской помощи несовершеннолетнему;
– в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются основания полагать, что вред его здоровью причинен в результате противоправных действий;
– в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов; – в целях расследования несчастного случая на производстве и профессионального заболевания; – при обмене информацией медицинскими организациями, в т. ч. размещенной в информационных системах, в целях оказания медицинской помощи;
– в целях осуществления учета и контроля в системе обязательного социального страхования;
– в целях осуществления контроля качества и безопасности медицинской помощи.
13.6. Письменное согласие пациента на передачу (предоставление) его персональных данных, составляющих врачебную тайну, требуется в случаях, когда:
• медицинская помощь оказывается пациенту на платной основе, вне программы государственных гарантий, и сведения передаются третьим лицам (организациям), не являющимся медицинскими организациями, например в страховую компанию и (или) страхователю по дополнительному медицинскому страхованию (в случае, если им не является сам пациент или его законный представитель);
• информация о состоянии здоровья пациента передается лицам, указанным самим пациентом или его законным представителем (ч. 5 ст. 19 Закона № 323-ФЗ); в согласии должны быть указаны фамилия, имя, отчество и контактные данные этих лиц (при этом можно считать, что пациент является представителем этих лиц, в связи с чем их специальное письменное согласие на обработку (хранение) указанных персональных данных в медицинском учреждении не требуется (ч. 1 и 8 ст. 9 Закона № 152-ФЗ);
• передача персональных данных (документов) пациента осуществляется по открытым каналам связи (сети Интернет, электронной почте), например, при проведении дистанционных (телемедицинских) консультаций;
• осуществляется трансграничная передача персональных данных пациента, например, при осуществлении телемедицинских консультаций с участием врачей, находящихся в странах, не являющихся сторонами Конвенции Совета Европы по защите физических лиц при автоматизированной обработке персональных данных или не включенных в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, утверждаемый Роскомнадзором (ст. 12 Закона № 152-ФЗ).
*В случаях, когда в информационной системе медицинского учреждения хранятся и обрабатываются биометрические данные пациента (данные геометрии контура кисти руки, изображения отпечатка пальца, сосудистого русла, изображение радужной оболочки глаза, изображение (фотография) лица, данные ДНК и др.), на это также необходимо его специальное письменное согласие (ст. 11 Закона № 152-ФЗ).
            14. Обеспечение неограниченного доступа к документам, определяющим политику медицинской организации в отношении обработки персональных данных
14.1  Согласно ст. 18.1 Закона № 152-ФЗ оператор (медицинская организация) обязан опубликовать на сайте организации или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.
                     15. Опубликование сведений о медицинских работниках
15.1.Согласно п. 7 ст. 21 и п. 7 ст. 79 Закона № 323-ФЗ при выборе врача и медицинской организации гражданин имеет право на получение информации в доступной для него форме, в т. ч. размещенной в информационно-телекоммуникационной сети Интернет, о медицинской организации, об осуществляемой ею медицинской деятельности и о врачах, об уровне их образования и квалификации.
                   16. Предоставление возможности для ознакомления с персональными данными пациентов, а также исправления неверных сведений
16.1. Согласно ст. 20 Закона № 152-ФЗ, медицинская организация обязана предоставить безвозмездно пациенту возможность ознакомления с его персональными данными. В срок, не превышающий 7 рабочих дней со дня предоставления пациентом сведений, подтверждающих, что персональные данные были получены незаконно или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные

                      17. Защита прав субьектов персональных данных при записи на лечение через сеть интернет

ООО «Надежда-Мед» НЕ осуществляет сбор  персональных данных  каких- либо  субьектов с использованием сети интернет. Более того, при записи пациента на лечение «ООО Надежда-Мед» осуществляет защиту персональных данных субьекта в виде получения незначительной по обьему информации (с целью обратной связи), НЕ дающей третьим лицам возможности достоверно идентифицировать субъекта. Для этого используется краткая ( а значит удобная для пациента) запись на лечение в виде : а) «Обратный звонок»- запрос лишь на имя, отчество (без фамилии) и номера телефона, б) «Запись на лечение  с сайта» — запрос лишь на имя, отчество (без фамилии), номер телефона, цель обращения( запись на лечение или консультация), какое заболевание,  противопоказания. Т.е. осуществляется запрос лишь тех данных, без которых Исполнитель не может обойтись.