Приказ

   

18.05.2015                                 г. Биробиджан                               82/1-ОД

   

Об организации работы с персональными данными

     

В целях обеспечения выполнения требований Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»

     

ПРИКАЗЫВАЮ:

 

  1. Утвердить списки должностей, имеющих доступ к персональным данным, допущенных к обработке персональных данных без использования средств автоматизации работников и пациентов (Приложение №1).
  2. Отделу кадров внести дополнения в должностные инструкции работников, обрабатывающих персональные данные, допущенных к обработке персональных данных без использования средств автоматизации.
  3. Утвердить Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации в ОГБУЗ «Инфекционная больница» (Приложение № 2).
  4. Утвердить Положение о защите персональных данных пациентов ОГБУЗ «Инфекционная больница» (Приложение № 3).

 

 

 
Главный врач
sign  
А.В. Лебедев

 
 
 

Приложение №1 к приказу от 18.05.2015 № 82/1-ОД

 

Список должностей, имеющих доступ к персональным данным работников, допущенных к обработке  ПДН без использования средств автоматизации:

 

Главный врач;

— Заместитель главного врача по медицинской части;

—  Главная медицинская сестра;

—  Специалист по  кадрам;

—  Юрисконсульт;

—  Главный бухгалтер;

— Сам работник, носитель данных.

 Список должностей, имеющих право обработки, хранения  персональных данных работников, без использования средств автоматизации:

 

— Главный врач;

— Секретарь руководителя;

— Заместитель главного врача по медицинской части и лицо его замещающее;

—  Главная медицинская сестра и лицо ее замещающее;

—  Специалист по  кадрам;

—  Специалист по охране труда;

—  Юрисконсульт;

—  Главный бухгалтер;

—  Бухгалтер по расчетам с рабочими и служащими;

—  Заместитель главного врача по экономике;

—  Экономисты;

— Программист;

— Системный администратор;

— Врач организационно – методической работы;

— Медицинский статистик;

— Заместитель главного врача по АХЧ;

— Заведующие отделениями;

— Старшие медицинские сестры.

 

 

 

Список должностей, имеющих доступ, право обработки, хранения персональных данных пациентов, допущенных к обработке  ПДН без использования средств автоматизации:

 

— Главный врач;

— Секретарь руководителя;

— Заместитель главного врача по медицинской части и лицо его замещающее;

—  Главная медицинская сестра и лицо ее замещающее;

—  Специалист по  кадрам;

—  Специалист по охране труда;

—  Юрисконсульт;

—  Главный бухгалтер;

—  Бухгалтер по расчетам с рабочими и служащими;

—  Заместитель главного врача по экономике;

—  Экономисты;

— Программист;

— Системный администратор;

— Врач организационно – методической работы;

— Медицинский статистик;

— Заместитель главного врача по АХЧ;

— Заведующие отделениями;

— Старшие медицинские сестры.

 
 

Приложение №2 к приказу от 18.05.2015 № 82/1-ОД
 

ПОЛОЖЕНИЕ

ОБ ОСОБЕННОСТЯХ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ,

ОСУЩЕСТВЛЯЕМЫХ БЕЗ ИСПОЛЬЗОВАНИЯ

СРЕДСТВ АВТОМАТИЗАЦИИ В ОГБУЗ «ИНФЕКЦИОННАЯ БОЛЬНИЦА»

 

  1. Общие положения

 

  1. Обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
  2. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее.
  3. Правила обработки персональных данных, осуществляемой без использования средств автоматизации, установленные нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации, должны применяться с учетом требований настоящего Положения.

 

  1. Особенности организации

обработки персональных данных, осуществляемой

без использования средств автоматизации

 

  1. Персональные данные при их обработке, осуществляемой без использования средств автоматизации, должны обособляться от иной информации, в частности путем фиксации их на отдельных материальных носителях персональных данных (далее — материальные носители), в специальных разделах или на полях форм (бланков).
  2. При фиксации персональных данных на материальных носителях не допускается фиксация на одном материальном носителе персональных данных, цели обработки которых заведомо не совместимы. Для обработки различных категорий персональных данных, осуществляемой без использования средств автоматизации, для каждой категории персональных данных должен использоваться отдельный материальный носитель.
  3. Лица, осуществляющие обработку персональных данных без использования средств автоматизации (в том числе сотрудники организации-оператора или лица, осуществляющие такую обработку по договору с оператором), должны быть проинформированы о факте обработки ими персональных данных, обработка которых осуществляется оператором без использования средств автоматизации, категориях обрабатываемых персональных данных, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами организации.
  4. При использовании типовых форм документов, характер информации в которых предполагает или допускает включение в них персональных данных (далее — типовая форма), должны соблюдаться следующие условия:

а) типовая форма или связанные с ней документы (инструкция по ее заполнению, карточки, реестры и журналы) должны содержать сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник получения персональных данных, сроки обработки персональных данных, перечень действий с персональными данными, которые будут совершаться в процессе их обработки, общее описание используемых оператором способов обработки персональных данных;

б) типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку персональных данных, осуществляемую без использования средств автоматизации, — при необходимости получения письменного согласия на обработку персональных данных;

в) типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных, содержащихся в документе, имел возможность ознакомиться со своими персональными данными, содержащимися в документе, не нарушая прав и законных интересов иных субъектов персональных данных;

г) типовая форма должна исключать объединение полей, предназначенных для внесения персональных данных, цели обработки которых заведомо не совместимы.

  1. При несовместимости целей обработки персональных данных, зафиксированных на одном материальном носителе, если материальный носитель не позволяет осуществлять обработку персональных данных отдельно от других зафиксированных на том же носителе персональных данных, должны быть приняты меры по обеспечению раздельной обработки персональных данных, в частности:

а) при необходимости использования или распространения определенных персональных данных отдельно от находящихся на том же материальном носителе других персональных данных осуществляется копирование персональных данных, подлежащих распространению или использованию, способом, исключающим одновременное копирование персональных данных, не подлежащих распространению и использованию, и используется (распространяется) копия персональных данных;

б) при необходимости уничтожения или блокирования части персональных данных уничтожается или блокируется материальный носитель с предварительным копированием сведений, не подлежащих уничтожению или блокированию, способом, исключающим одновременное копирование персональных данных, подлежащих уничтожению или блокированию.

  1. Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
  2. Правила, предусмотренные пунктами 9 и 10 настоящего Положения, применяются также в случае, если необходимо обеспечить раздельную обработку зафиксированных на одном материальном носителе персональных данных и информации, не являющейся персональными данными.
  3. Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, — путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

 

III. Меры по обеспечению безопасности

персональных данных при их обработке, осуществляемой

без использования средств автоматизации

 

  1. Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
  2. Необходимо обеспечивать раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

3. При хранении материальных носителей должны соблюдаться условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ. Перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также перечень лиц, ответственных за реализацию указанных мер, устанавливаются оператором.

 
 

Приложение №3 к приказу от 18.05.2015 № 82/1-ОД

ПОЛОЖЕНИЕ
о защите персональных данных пациентов ОГБУЗ «Инфекционная больница»

 

  1. Общие положения.

 

1.1. Настоящее «Положение об обработке и защите персональных данных Пациентов (в дальнейшем «Положение») разработано на основании Конституции Российской Федерации, Трудового кодекса, федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», и других действующих нормативно-правовых актов Российской Федерации.

1.2. Положение устанавливает порядок получения, учета, обработки, накопления и хранения документов, содержащих сведения, отнесенные к персональным данным Пациентов ОГБУЗ «Инфекционная больница» (в дальнейшем Учреждение).

1.3. Целью настоящего Положения является защита персональных данных Пациентов от несанкционированного доступа и разглашения.

Персональные данные являются конфиденциальной, строго охраняемой информацией.

Сотрудники Учреждения, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

 

  1. Понятие и состав персональных данных Пациентов.

 

2.1. Под персональными данными Пациентов (субъектов персональных данных) — понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, пол, год, месяц, дата и место рождения, адрес места жительства, контактные телефоны, реквизиты полиса ОМС (ДМС), индивидуального лицевого счета в Пенсионном фонде России (СНИЛС), паспортные данные, данные о состоянии здоровья, заболеваниях, случаях обращения за медицинской помощью.

Данные сведения являются конфиденциальными. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении срока  хранения, если иное не определено законом.

 

2.2. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с ПДн, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Обработка персональных данных Пациентов осуществляется в медико – профилактических целях, в целях установления медицинского диагноза и оказания медицинских услуг, в целях обеспечения соблюдения Конституции Российской Федерации.

 

2.3. Распространение персональных данных — действия, направленные на раскрытие ПДн неопределенному кругу лиц;

 

2.4. Использование персональных данных — действия (операции) с персональными данными, совершаемые Учреждением в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных (Пациента)  или других лиц либо иным образом затрагивающих права и свободы Пациента или других лиц.

2.5. Блокирование персональных данных — временное прекращение обработки персональных данных пациентов (за исключением случаев, если обработка необходима для уточнения персональных данных);.

 

2.6. Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных пациентов и (или) в результате которых уничтожаются материальные носители персональных данных пациентов;

 

2.7. Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту (работнику);

 

2.8. Информационная система персональных данных — система, представляющая совокупность содержащихся в базах данных ПДн, и обеспечивающих их обработку информационных технологий и технических средств;

 

2.9. Конфиденциальность персональных данных — обязательное для соблюдения назначенными ответственными лицами требование.

 

2.10. Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Обеспечения конфиденциальности персональных данных не требуется:

— в случае обезличивания персональных данных;

— в отношении общедоступных персональных данных.

 

  1. Обязанности Учреждения

 

3.1. Обработка персональных данных Пациента может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов.

 

3.2. При определении объема и содержания обрабатываемых персональных данных Пациентов Учреждение  должен руководствоваться Конституцией Российской Федерации, ФЗ «О персональных данных» и иными федеральными законами.

 

3.3. Федеральным законом ФЗ-152 «О персональных данных» и другими федеральными законами предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.

 

3.4. Учреждение при обработке персональных данных принимает необходимые организационные и технические меры, для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования,  копирования, распространения персональных данных, а также от иных неправомерных действий.

 

  1. Обязанности и права Пациента.

 

4.1.Пациент обязан:

— передавать Учреждению комплекс достоверных документированных персональных данных, перечень которых установлен Трудовым кодексом РФ. За достоверность представленных сведений ответственность несет Пациент;

— Сообщать Учреждению об изменении своих персональных данных.

 

4.2. Пациент имеет право:

— на полную информацию о своих персональных данных и обработке этих данных;

— на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей его персональные данные, за исключением случаев, предусмотренных законодательством РФ;

— требовать исключения, исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением требований закона, их блокирования, уничтожения;

— обжаловать неправомерные действия Учреждения при обработке и защите персональных данных.

 

4.2.1. Обязанности Учреждения (оператора) и права пациента при письменном обращении Пациента или  его законного представителя:

  1. Субъект персональных данных имеет право на получение сведений, указанных в части 7 настоящего пункта, за исключением случаев, предусмотренных частью 8 настоящего пункта. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
  2. Сведения, указанные в части 7 настоящего пункта, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
  3. Сведения, указанные в части 7 настоящего пункта, предоставляются субъекту персональных данных или его представителю оператором при обращении либо при получении запроса субъекта персональных данных или его представителя (Приложение 1). Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Учреждение безвозмездно, на основании письменного запроса (Приложение 1), предоставляет Пациенту или его законному представителю возможность ознакомления с персональными данными, относящимися к Пациенту, а также вносит в них необходимые изменения, уничтожает или блокирует соответствующие персональные данные по предоставлении Пациента или его законным представителем сведений, подтверждающих, что персональные данные, которые относятся к Пациенту и обработку которых осуществляет Учреждение, являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки.

В случае отзыва Пациентом (Приложение 2) согласия на обработку своих персональных  данных Учреждение вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, в соответствии с Законодательством.

  1. В случае, если сведения, указанные в части 7 настоящего пункта, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 пункта 3.5, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом.

 

  1. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящего пункта, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в части 4 настоящего пункта в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в части 3 настоящего пункта, должен содержать обоснование направления повторного запроса.

 

  1. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 настоящего пункта. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.

 

  1. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных (Приложение № 1), в том числе содержащей:

1) подтверждение факта обработки персональных данных оператором;

2) правовые основания и цели обработки персональных данных;

3) цели и применяемые оператором способы обработки персональных данных;

4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;

5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;

6) сроки обработки персональных данных, в том числе сроки их хранения;

7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;

8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;

9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;

10) иные сведения, предусмотренные настоящим Федеральным законом 152 — ФЗ или другими федеральными законами.

 

  1. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц.

4.3. Ответ в письменной форме на запрос субъекта должен быть сформирован компетентным работником, подписан Главным врачом учреждения в течение 20  рабочих дней с даты поступления в учреждения запроса от субъекта персональных данных и отправлен в срок, не превышающий пяти  рабочих дней, в адрес субъекта через отделение почтовой связи  или курьером (непосредственно в руки адресату под роспись).

4.4. Защита персональных данных Пациента от неправомерного их использования или утраты должна обеспечиваться Учреждением за счет собственных средств.

4.5. Права Пациента при принятии решений на основании исключительно автоматизированной обработки их персональных данных.

  1. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных частью 2 настоящего пункта.
  2. Решение, порождающее юридические последствия в отношении субъекта персональных данных или иным образом затрагивающее его права и законные интересы, может быть принято на основании исключительно автоматизированной обработки его персональных данных только при наличии согласия в письменной форме субъекта персональных данных или в случаях, предусмотренных федеральными законами, устанавливающими также меры по обеспечению соблюдения прав и законных интересов субъекта персональных данных.
  3. Оператор обязан разъяснить субъекту персональных данных порядок принятия решения на основании исключительно автоматизированной обработки его персональных данных и возможные юридические последствия такого решения, предоставить возможность заявить возражение против такого решения, а также разъяснить порядок защиты субъектом персональных данных своих прав и законных интересов.
  4. Оператор обязан рассмотреть возражение, указанное в части 3 настоящего пункта, в течение тридцати дней со дня его получения и уведомить субъекта персональных данных о результатах рассмотрения такого возражения.

 
5. Сбор, обработка, цель и хранение персональных данных.

5.1. Всю информацию о персональных данных Пациент предоставляет самостоятельно.
Федеральным законом 152-ФЗ «О персональных данных» и другими федеральными законами предусматриваются случаи обязательного предоставления субъектом персональных данных своих персональных данных в целях защиты основ конституционного строя, нравственности, здоровья, прав и законных интересов других лиц, обеспечения обороны страны и безопасности государства.
5.2. Перечень оснований для приостановления или отказа в предоставлении услуги:
— отсутствие документов, которые пациент должен представить для получения услуги (полис, паспорт, СНИЛС);
— нарушение пациентом общепринятых норм поведения (оскорбление сотрудников, и пациентов Учреждения, неадекватное поведение, алкогольное или токсическое опьянение и др.).
Медицинская помощь по экстренным показаниям может быть предоставлена без предъявления документов. Отсутствие у пациента документов не может являться причиной отказа в экстренной медицинской помощи
В случае отказа Пациента предоставить персональные данные или их неполного предоставления, учреждение при необходимости не вправе выписать листок нетрудоспособности (больничный лист), при необходимости включить в реестр по выдаче Льготных лекарств, направить на обследование, медицинские комиссии, выписать направления на анализы и т.д.

5.3. Пациент предоставляет Учреждению достоверные сведения о себе.
Учреждение сверяет данные предоставленные Пациентом, с имеющимися у Пациента документами.
Персональные данные следует получать у самого Пациента. Если персональные данные Пациента возможно получить только у третьей стороны, то Пациент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Пациента, в случаях, установленных федеральным законом и если третья сторона входит в перечень
п. 7.2. Оператор сообщает Пациенту о целях, предполагаемых источниках и способах получения персональных данных, а так же о характере подлежащих получению персональных данных и последствиях отказа Пациента дать письменное согласие на их получение.

5.4. При приеме в ОГБУЗ «Инфекционная больница» пациент представляет следующие документы, содержащие персональные данные о себе:
-паспорт или иной документ, удостоверяющий личность, гражданство;
— СНИЛС
— полис ОМС;
— в отдельных случаях с учетом специфики обследования в учреждение здравоохранения действующим законодательством РФ может предусматриваться необходимость предъявления дополнительных документов.
Передача персональных данных пациентов вне учреждения разрешается только в установленных законом случаях.
5.5. Персональные данные субъектов в течении первого года после заведения истории болезни хранятся на бумажных носителях в помещении у старших сестёр . Истории болезни прошедших обследование, лечение субъектов по истечению одного года отправляются на хранение в архив ОГБУЗ «Инфекционная больница». Все помещения оборудованы специализированными шкафами и сейфами.
5.6. Конкретные обязанности по ведению, заполнению истории болезни субъектов, иных документов, отражающих персональные данные пациентов, возлагается на работников приёмного покоя, лечащих врачей и медсестёр.
5.7. Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.

5.8. Цель обработки персональных данных: Оказание медицинских услуг (лечение, проведение анализов и других диагностических процедур, оказание помощи в экстренных ситуациях), оформление трудовых отношений, оформление договорных отношений, сдача отчетности, подготовка ответов на обращения.

 

  1. Передача персональных данных

 

6.1. Выдача персональных данных самому пациенту происходит с отметкой в журнале учета выдачи носителей, содержащих персональные данные и с подписью самого пациента о получении этого документа (Приложение № 3).

6.2. При передаче персональных данных Пациента третьим лицам должностные лица должны соблюдать следующие требования:

Не сообщать персональные данные субъекта третьей стороне без письменного согласия пациента, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, других случаях, предусмотренных Трудовым кодексом РФ или иными федеральными законами, а так же при передаче персональных данных третьей стороне из п. 7.2. Учитывая, что Трудовой кодекс РФ не определяет критерии ситуаций, представляющих угрозу жизни или здоровью субъекта, оператор в каждом конкретном случае делает самостоятельную оценку серьезности, неминуемости, степени такой угрозы. Если же лицо, обратившееся с запросом, не уполномочено федеральным законом на получение персональных данных субъекта, либо отсутствует письменное согласие субъекта на предоставление его персональных сведений, либо, по мнению оператора, отсутствует угроза жизни или здоровью субъекта, оператор обязан отказать в предоставлении персональных данных лицу.

Предупредить лиц, получающих персональные данные Пациента, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это право соблюдено.

Лица, получающие персональные данные Пациента, обязаны соблюдать конфиденциальность.

Разрешать доступ к персональным данным Пациента только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретных функций;

Все сведения о передаче персональных данных субъекта регистрируются в Журнале учета передачи персональных данных в целях контроля правомерности использования данной информации лицами, ее получившими. В журнале фиксируются сведения о лице, направившем запрос, дате передачи персональных данных или дате уведомления об отказе в их предоставлении, а также отмечается какая именно информация была передана. Форма журнала учета передачи персональных данных представлена в приложении № 5 к настоящему Положению.

 

  1. Доступ к персональным данным Пациента

 

7.1. Право доступа к персональным данным Пациента имеют врачи, медицинские сестры, должностные лица Учреждения, обязанные сохранять врачебную и профессиональную тайну. Список должностей утверждается приказом по учреждению.

7.2. Внешний доступ.

К числу массовых потребителей персональных данных вне Учреждения можно отнести

государственные и негосударственные структуры:

  • правоохранительные органы;
  • органы прокуратуры и ФСБ;
  • военкоматы;
  • органы социального страхования;
  • пенсионные фонды;
  • МИАЦ по ЕАО;
  • Федеральная служба по надзору в сфере здравоохранения и социального развития (Росздравнадзор по ЕАО);
  • Вышестоящие организации учреждения;

7.3. Родственники и члены семей.

Персональные данные Пациента могут быть предоставлены только его законному представителю с письменного разрешения самого Пациента.

 

  1. Защита персональных данных Пациента

 

8.1. В целях обеспечения сохранности и конфиденциальности персональных данных Пациента все операции по обработке, ведению и хранению данной информации должны выполняться только должностными лицами, обязанными сохранять врачебную и профессиональную тайну в соответствии со своими служебными обязанностями, зафиксированными в их должностных инструкциях.

8.2. Ответы на письменные запросы других организаций и учреждений в пределах их компетенции и представленных полномочий даются в письменной форме с исходящим номером на бланке Учреждения и в том объеме, который позволяет не разглашать излишний объем персональных сведений о Пациентах.

 

  1. Ответственность за разглашение информации, связанной с персональными данными Пациента.

В соответствии с Федеральным законом от 21 ноября 2011 г. N 323-ФЗ
«Об основах охраны здоровья граждан в Российской Федерации» сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну (ст.13).

Не допускается разглашение сведений, составляющих врачебную тайну лицами, которым они стали известны при обучении, исполнении профессиональных, служебных и иных обязанностей, кроме оговоренных законом случаев.

Так, предоставление сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя допускается:

1) в целях обследования и лечения гражданина, не способного из-за своего состояния выразить свою волю;

2) при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;

3) по запросу органов дознания и следствия и суда в связи с проведением расследования или судебным разбирательством;

4) в случае оказания помощи несовершеннолетнему в возрасте, установленном частью второй статьи 24 «Основ законодательства», для информирования его родителей или законных представителей;

5) при наличии оснований, позволяющих полагать, что вред здоровью гражданина причинен в результате противоправных действий;

6) в целях проведения военно-врачебной экспертизы в порядке, установленном положением о военно-врачебной экспертизе, утверждаемым уполномоченным федеральным органом исполнительной власти.

Лица, которым в установленном законом порядке переданы сведения, составляющие врачебную тайну, наравне с медицинскими и фармацевтическими работниками с учетом причиненного гражданину ущерба несут за разглашение врачебной тайны дисциплинарную, административную или уголовную ответственность в соответствии с законодательством Российской Федерации, законодательством субъектов Российской Федерации.