понедельник-пятница: 9.00 - 20.00
суббота, воскресенье: 9.00 - 15.00
1. Общие положения
1.1. Настоящее Положение разработано на основании: статей Конституции Российской Федерации; Трудового Кодекса Российской Федерации; Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012г. №1119; Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687.
1.2. Настоящим Положением определяется порядок обращения с персональными данными пациентов (субъектов персональных данных), которые обращаются в ООО «МИРТА клиника магнитно-резонансной томографии» (далее — Общество) и персональными данными работников Общества, которые необходимы работодателю в связи с трудовыми отношениями.
1.3. В отношении сведений о субъектах персональных данных, позволяющих идентифицировать его личность, за исключением обезличенных и общедоступных персональных данных, в установленных федеральными законами случаях, должна обеспечиваться конфиденциальность таких сведений.
1.4. Защита персональных данных пациента от неправомерного их использования или утраты должна быть обеспечена оператором за счет его средств в порядке, установленном Федеральным Законом и другими нормативными документами Российской Федерации.
1.5. Положение является обязательным для исполнения всеми работниками Общества, имеющими доступ к персональным данным.
1.6. Настоящее Положение не распространяется на отношения, возникающие при:
1.7. В случаях, не указанных в настоящем Положении, следует руководствоваться действующими федеральными законами и нормативными правовыми актами Российской Федерации, регулирующими порядок обработки персональных данных.
1.8. Настоящее Положение вступает в силу с момента его утверждения генеральным директором Общества и действует бессрочно, до замены его новым Положением.
1.9. Все изменения в Положение вносятся приказом.
1.10. Все работники Общества должны быть ознакомлены с настоящим Положением под роспись (Приложение №4)
2. Основные понятия персональных данных
Для целей настоящего Положения используются следующие основные понятия:
3. Персональные данные работника
3.1. В состав персональных данных работников Общества входят документы, содержащие информацию о паспортных данных, образовании, отношении к воинской обязанности, семейном положении, месте жительства, а также о предыдущих местах их работы.
3.2. Обработка персональных данных работника осуществляется на основании его письменного согласия (Приложение №1), за исключением случаев, прямо предусмотренных действующим законодательством РФ.
3.3. Комплект документов, сопровождающий процесс оформления трудовых отношений работника в Общество при его приеме, переводе и увольнении.
3.3.1. Информация, представляемая работником при поступлении на работу в Общество, должна иметь документальную форму.
При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:
3.3.2. При оформлении работника в Общество работником кадрового органа заполняется унифицированная форма Т-2 «Личная карточка работника», в которой отражаются следующие анкетные и биографические данные работника:
В дальнейшем в личную карточку вносятся:
3.3.3. В кадровом органе создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде:
Документы, содержащие персональные данные работников (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; комплекс материалов по анкетированию, тестированию; проведению собеседований с кандидатом на должность; подлинники и копии приказов по личному составу; личные дела и трудовые книжки работников; дела, содержащие основания к приказу по личному составу; дела, содержащие материалы аттестации работников; служебных расследований; справочно-информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения).
3.4. Работник, как субъект персональных данных, имеет право на получение сведений:
3.5 Работник имеет право:
4. Персональные данные пациентов
4.1. В состав персональных данных пациентов Общества входят документы, содержащие информацию о паспортных данных, страховом полисе ОМС, амбулаторная карта больного, а так же иные документы сопровождающие оказание медицинских услуг.
4.2. Получение персональных данных пациента преимущественно осуществляется путем представления пациентом письменного согласия на обработку персональных данных (Приложение №2), за исключением случаев прямо предусмотренных действующим законодательством РФ.
В случае недееспособности пациента или не достижения пациентом возраста 15 лет согласие на обработку его персональных данных дает в письменной форме его законный представитель.
В случае смерти пациента согласие на обработку его персональных данных дают в письменной форме наследники пациента, если такое согласие не было дано пациентом при его жизни.
4.3. Пациент, как субъект персональных данных, в том числе специальной категории персональных данных, имеет право на получение сведений:
4.4. Пациент имеет право:
4.5. При приеме к врачу пациент представляет следующие документы, содержащие персональные данные о себе:
5. Сбор, обработка и хранение персональных данных
5.1 Все персональные данные субъекта следует получать у него самого. Информация о персональных данных субъекта предоставляется оператору субъектом устно, либо путем заполнения личных карточек формы Т-2 для работников (медицинских карт для пациентов), которые хранятся в личном деле в отделе кадров (регистратуре/архиве). Если персональные данные субъекта возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом и от него должно быть получено письменное согласие (либо письменный отказ). В письменном уведомлении оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных (например, оформление запроса в медицинское учреждение о прохождении обследования и лечения и т.п.) и последствиях отказа субъекта дать письменное согласие на их получение.
5.2. Общество не имеет права получать и обрабатывать персональные данные субъекта о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях.
5.3. Обработка персональных данных должна осуществляться на основе принципов:
5.4. Согласие субъекта персональных данных не требуется в случаях, определенных Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» в пунктах 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11, в том числе:
5.5. Письменное согласие субъекта на обработку своих персональных данных должно включать в себя:
5.6. Запрещается требовать от лица, поступающего на работу (или прием), документы помимо предусмотренных Трудовым кодексом РФ, иными федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации.
5.7. Персональные данные субъектов хранятся в электронных базах данных и на бумажных носителях в помещении отдела кадров (регистратуре). Для этого используются специально оборудованные шкафы и сейфы. Личные дела уволенных (прошедших обследование, лечение) субъектов хранятся в архиве Общества.
5.8. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, электронные базы). В общедоступные источники персональных данных могут включаться фамилия, имя, отчество, должность, подразделение, служебные телефоны и адрес электронной почты.
5.9. Сведения о начислении и выплате заработной платы работникам Общества хранятся в электронных базах данных и на бумажных носителях в помещении управления экономики и бухгалтерского учета. По истечении сроков хранения, установленных законодательством РФ, данные сведения передаются в архив Общества.
5.10. Конкретные обязанности по ведению, хранению личных дел субъектов, заполнению, хранению и выдаче трудовых книжек, иных документов, отражающих персональные данные субъектов, возлагается на работников отдела кадров и регистратуры, а по хранению личных дел уволенных (обследованных, пролеченных) субъектов - на работников архива и закрепляются в должностных инструкциях.
5.11. Персональные данные пациентов хранятся в электронных базах данных, которые могут быть подключены к локальной сети организации, а так же на бумажных носителях.
5.12. Доступ к электронным базам данных ограничен паролем. Возможна передача персональных данных пациентов между структурными подразделениями с использованием учтенных съемных носителей или по внутренней сети Общества с использованием технических и программных средств защиты информации, с доступом только для работников Общества, допущенных к работе с персональными данными пациентов Приказом генерального директора и только в объеме, необходимом данным работникам для выполнения ими своих должностных обязанностей.
5.13. Бумажными носителями персональных данных являются:
5.14. Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.
5.15. При получении сведений, составляющих персональные данные субъектов заинтересованные лица имеют право получать только те персональные данные, которые необходимы для выполнения конкретных функций и заданий.
6. Передача персональных данных субъектов персональных данных
6.1 При передаче персональных данных субъектов сотрудники Общества, имеющие доступ к персональным данным, должны соблюдать следующие требования:
6.1.1 Не сообщать персональные данные субъекта третьей стороне без письменного согласия работника субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью субъекта, а также в других случаях, предусмотренных Трудовым кодексом РФ или иными федеральными законами.
6.1.2 Не сообщать персональные данные субъекта в коммерческих целях без его письменного согласия.
6.1.3 Предупредить лиц, получающих персональные данные субъекта, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.
6.1.4 Разрешать доступ к персональным данным субъектов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные субъектов, которые необходимы для выполнения конкретных функций.
6.1.5 Все сведения о передаче персональных данных субъекта должны регистрироваться в Журнале учета передачи персональных данных в целях контроля правомерности использования данной информации лицами, ее получившими. В журнале фиксируются сведения о лице, направившим запрос, дата передачи персональных данных или дата уведомления об отказе в их предоставлении, а также отмечается какая именно информация была передана. Форма журнала учета передачи персональных данных представлена в Приложении № 4 к настоящему Положению.
7. Защита персональных данных
7.1. Защита персональных данных в Обществе представляет собой принятие правовых, организационных и технических мер, направленных на:
7.2. В целях обеспечения безопасности персональных данных при их обработке в информационных системах Общества:
7.3. Обеспечение безопасности персональных данных в информационных системах персональных данных осуществляется в соответствии с требованиями ст. 19 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012г. №1119, нормативными и руководящими документами уполномоченных федеральных органов исполнительной власти.
7.4. Мероприятия по обеспечению безопасности персональных данных проводятся в соответствии с «Составом и содержанием организационным и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных», утвержденных приказом ФСТЭК России от 18.02.2013 № 21.
7.5. Выбор и реализация методов и способов защиты информации в информационной системе осуществляются на основе определяемых Обществом угроз безопасности персональных данных (модели угроз) и в зависимости от уровня защищенности информационной системы, определенного в соответствии с «Требованиями к защите персональных данных при их обработке в информационных системах персональных данных», утвержденными Приказом ФСТЭК России от 1 ноября 2012 г. №1119.
7.6. Выбранные и реализованные методы и способы защиты информации в информационной системе должны обеспечивать нейтрализацию предполагаемых угроз безопасности персональных данных при их обработке в информационных системах в составе системы защиты персональных данных.
7.7. Обеспечение безопасности персональных данных в информационных системах персональных данных без использования средств автоматизации осуществляется в соответствии с требованиями Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687.
7.8. Сотрудники Общества, имеющие доступ к персональным данным, обязаны принимать необходимые организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, модифицирования, блокирования, копирования, распространения, а также от иных неправомерных действий в отношении данной информации.
7.9. Сотрудники Общества, имеющие доступ к персональным данным, подписывают обязательство о неразглашении персональных данных иных лиц, ставших им известными в процессе выполнения своей трудовой функции (Приложение №5)
8. Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных работников
8.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим российским законодательством.
Приложение №2 к Положению о порядке организации обработки и обеспечении безопасности персональных данных в ООО «МИРТА клиника магнитно-резонансной томографии»
Согласие пациента ООО «МИРТА клиника магнитно-резонансной томографии» на обработку своих персональных данных
Я ______________________________________________________
(Ф.И.О. полностью)
проживающий по адресу ___________________________, паспорт ___________________________,
выдан ___________________________, в соответствии с требованиями статьи 9
федерального закона от 27.07.06 г. «О персональных данных» № 152-ФЗ, подтверждаю свое согласие на обработку ООО «Мирта-клиника магнитно-резонансной томографии» (далее — Оператор) моих персональных данных, включающих: фамилию, имя, отчество, пол, дату рождения, адрес места жительства, контактные телефон (ы), реквизиты полиса ОМС (ДМС), страховой номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС), данные о состоянии моего здоровья, заболеваниях, случаях обращения за медицинской помощью — в медико-профилактических целях, в целях установления медицинского диагноза и оказания медицинских услуг при условии, что их обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну. В процессе оказания Оператором мне медицинской помощи я предоставляю право медицинским работникам, передавать мои персональные данные, содержащие сведения, составляющие врачебную тайну, другим должностным лицам Оператора, в интересах моего обследования и лечения.
Предоставляю Оператору право осуществлять все действия (операции) с моими персональными данными, включая сбор, систематизацию, накопление, хранение, обновление, изменение, использование, обезличивание, блокирование, уничтожение. Оператор вправе обрабатывать мои персональные данные посредством внесения их в электронную базу данных, включения в списки (реестры) и отчетные формы, предусмотренные документами, регламентирующими предоставление отчетных данных (документов) по ОМС (договором ДМС). Оператор имеет право во исполнение своих обязательств по работе в системе ОМС (по договору ДМС) на обмен (прием и передачу) моими персональными данными со страховой медицинской организацией <название> и территориальным фондом ОМС с использованием машинных носителей или по каналам связи, с соблюдением мер, обеспечивающих их защиту от несанкционированного доступа, при условии, что их прием и обработка будут осуществляется лицом, обязанным сохранять профессиональную тайну.
Срок хранения моих персональных данных соответствует сроку хранения первичных медицинских документов (медицинской карты) и составляет двадцать пять лет.
Передача моих персональных данных иным лицам или иное их разглашение может осуществляться только с моего письменного согласия.
Настоящее согласие дано мной с даты его подписания и действует бессрочно.
Я оставляю за собой право отозвать свое согласие посредством составления соответствующего письменного документа, который может быть направлен мной в адрес Оператора по почте заказным письмом с уведомлением о вручении либо вручен лично под расписку представителю Оператора.
В случае получения моего письменного заявления об отзыве настоящего согласия на обработку персональных данных, Оператор обязан прекратить их обработку в течение периода времени, необходимого для завершения взаиморасчетов по оплате оказанной мне до этого медицинской помощи.
«____»_____________ 20__ г.
________________(_________________________)
(подпись) (расшифровка подписи)
Согласие на обработку персональных данных
Я ______________________________________________________
(Ф.И.О. полностью)
проживающий по адресу ___________________________,
паспорт ___________________________,
в соответствии со ст. 9 федерального закона от 27.07.2006г. «О защите персональных данных» №152-ФЗ, подтверждаю свое согласие на обработку ООО «Мирта-клиника магнитно-резонансной томографии», г. Тольятти, ул. Свердлова 24 А(далее — Оператор) моих персональных данных, включающих: фамилию, имя, отчество, пол, дату рождения, адрес проживания, контактный телефон, реквизиты полиса ДМС, данные о состоянии моего здоровья, заболеваниях, случаях обращения за медицинской помощью, - в целях установления медицинского диагноза и оказания медицинских услуг.
Предоставляю Оператору право осуществлять все действия (операции) с моими персональными данными, включая сбор, внесение в электронную базу данных, систематизацию, накопление, хранение, обновление, изменение, использование, обезличивание, блокирование, уничтожение.
Срок хранения моих персональных данных соответствует сроку хранения первичных медицинских документов.
Настоящее согласие дано мной « » 20 г. и действует бессрочно.
Контактный телефон ___________________________
Подпись субъекта персональных данных ___________________________