Утверждено
Приказом № 1 Генерального директора
В.П. Фролова
№ «18» июля 2012 г.

Политика в отношении обработки персональных данных в ООО «МИРТА клиника магнитно-резонансной томографии»

1. Общие положения.

• Настоящая Политика в отношении обработки и обеспечения безопасности персональных данных в ООО «МИРТА клиника магнитно-резонансной томографии» (далее - Оператор) разработана в соответствии с Федеральным законом от 27.07.2006 № 152-ФЗ «О персональных данных» (далее - Федеральный закон); статей Конституции Российской Федерации; Трудового Кодекса Российской Федерации; Федерального закона от 27 июля 2006 г. Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»; Требований к защите персональных данных при их обработке в информационных системах персональных данных, утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012г. №1119; Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации от 15 сентября 2008 г. № 687.
• Целью настоящей политики является определение порядка обращения с персональными данными пациентов (субъектов персональных данных), сотрудников учреждения для обеспечения защиты их прав и свобод при обработке Оператором их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также в целях соблюдения требований законодательства Российской Федерации в области персональных данных.

2. Основные понятия персональных данных.

Для целей настоящего Положения используются следующие основные понятия:

• автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники;
• блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
• врачебная тайна - соблюдение конфиденциальности информации о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иных сведений, полученных при его обследовании и лечении;
• документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель;
• документы, содержащие персональные сведения пациента - формы медицинской и иной учетно- отчетной документации, включающие сведения о персональных данных;
• информация - сведения (сообщения, данные) независимо от формы их представления;
• информационная система персональных данных - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
• конфиденциальность персональных данных - обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения и не раскрывать третьим лицам персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом;
• обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных;
• обработка персональных данных - любое действия (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
• обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека;
• общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
• оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
• пациент - физическое лицо (субъект), обратившееся в Учреждение с целью получения медицинского обслуживания, либо состоящее в иных гражданско-правовых отношениях с Учреждением по вопросам получения медицинских услуг.
• персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
• персональные данные пациента - любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес; семейное положение; социальное положение; образование; профессия; паспортные данные; пол; контактный номер телефона; место работы (учебы); должность; сведения о состоянии здоровья (в т.ч. группа здоровья, группа инвалидности и степень ограничения к трудовой деятельности, состояние диспансерного учета, зарегистрированные диагнозы); сведения об оказанных медицинских услугах (в т.ч. о проведенных лабораторных анализах и исследованиях и их результатах, выполненных оперативных вмешательствах, случаях стационарного лечения и их результатах); сведения о праве на льготу и льготное лекарственное обеспечение; сведения, содержащиеся в полисе медицинского страхования; сведения, содержащиеся в страховом свидетельстве государственного пенсионного страхования (СНИЛС); сведения, содержащиеся в медицинских документах (история болезни, амбулаторная карта, история родов); дата и причина смерти;
• персональные данные сотрудников- любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес; семейное положение; социальное положение; образование; профессия; доходы; паспортные данные; пол; гражданство; сведения о воинском учете; сведения о составе семьи; сведения о детях; стаж работы; контактный номер телефона; должность; сведения об аттестации; сведения о повышении квалификации; сведения о профессиональной переподготовке; сведения о наградах (поощрениях), почетных званиях; сведения о социальных льготах; сведения номер лицевого (расчетного) счета; сведения, содержащиеся в трудовой книжке; сведения, содержащиеся в свидетельстве о постановке на учет в налоговом органе (ИНН); сведения, содержащиеся в страховом свидетельстве государственного пенсионного страхования (СНИЛС);
• специальные категории персональных данных: состояние здоровья;
• биометрические персональные данные: для сотрудников: копия паспорта с фотографией;
• предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
• распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
• уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

3. Обработка персональных данных, перечень действий, совершаемый с персональными данными.

3.1. Обработка персональных данных в Учреждении осуществляется следующими путями:

сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Указанные действия совершаются с использованием средств автоматизации и без использования таких средств.

3.2. Трансграничной передачи персональных данных Учреждением не осуществляется.

3.3. Учреждение осуществляет смешенную обработку персональных данных с использованием бумажных носителей и ПЭВМ с передачей полученной информации по внутренней сети оператора и с передачей информации по сети общего пользования Интернет, в том числе по закрытому каналу ViPNet Client.

3.4. Обработка специальных категорий персональных данных, касающихся состояния здоровья, осуществляется в соответствии с законодательством Российской Федерации.

3.5. Учреждение не осуществляет обработку специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений.

3.6. Все персональные данные субъекта Оператор получает у него самого. Информация о персональных данных субъекта предоставляется оператору субъектом с письменного его согласия.

3.7. Передача персональных данных третьему лицу осуществляется с письменного согласия субъекта персональных данных.

3.8. Оператор передает обрабатываемые персональные данные в уполномоченные организации, государственные органы, государственные внебюджетные фонды только на основаниях и в случаях, предусмотренных законодательством Российской Федерации, в том числе: в рамках осуществления информационного взаимодействия в сфере ДМС;

для уплаты налогов на доходы физических лиц, обязательных страховых платежей и взносов; в целях осуществления правосудия, исполнения судебного акта; при ответах на официальные письменные мотивированные запросы правоохранительных органов и органов судебной власти, других уполномоченных государственных органов.

3.9. Прекращает обработку персональных данных в следующих случаях:

• достижение цели обработки персональных данных
• изменение, признание утратившими силу нормативных правовых актов, устанавливающих правовые основания обработки персональных данных

3.10. Обработка персональных данных ограничивается достижением конкретных, заранее определённых и законных целей. Не допускается обработка персональных данных, несовместимых с целями сбора персональных данных.

3.11. При обработке персональных данных обеспечивается точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Учреждение обеспечивает принятие необходимых мер по удалению или уточнению неполных или неточных данных.

3.12. Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.

4. Хранение и передача персональных данных.

4.1. Хранение персональных данных в Учреждении осуществляется в форме, позволяющей определить субъекта персональных данных и на срок, которого требуют цели обработки персональных данных.

4.2. Сотрудники Учреждения, имеющие доступ к персональным данным Субъектов в связи с исполнением трудовых обязанностей, обеспечивают хранение информации, содержащей персональные данные Субъекта, исключающее доступ к ним третьих лиц.

4.3. При передаче персональных данных Субъектов сотрудники Учреждения, имеющие доступ к персональным данным, соблюдают следующие требования: не разглашают персональные данные Субъекта третьей стороне без письменного согласия Субъекта, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью Субъекта, а также в других случаях, предусмотренных Трудовым кодексом РФ или иными федеральными законами.

5. Обеспечение защиты персональных данных.

5.1. Защита персональных данных Субъекта осуществляется Учреждением в порядке, установленном действующим законодательством, а также нормативно-правовыми актами и локальными нормативными актами Учреждения.

5.2. Учреждение при защите персональных данных Субъектов принимает все необходимые организационно- распорядительные, юридические и технические меры.

6. Права и обязанности Субъекта персональных данных.

6.1. Субъект персональных данных имеет право:

• требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав
• получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения
• требовать информирования всех субъектов, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях
• обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных

6.2. Обязанности Субъекта персональных данных:

• предоставить Учреждению достоверные персональные данные
• оформить соглашение на обработку персональных данных
• в случае отказа Субъекта в предоставлении персональных данных Учреждению:
• пациентам оказывается только неотложная медицинская помощь
• претенденту на должность Учреждение отказывает в приеме на работу

7. Права и обязанности Учреждения Учреждение обязано:

• соблюдать федеральное законодательство в части защиты персональных данных в соответствии с действующим законодательством.
• неукоснительно следовать заявленной политике и добиваться понимания всеми работниками Учреждения своей роли и места в обеспечении поставленных целей, задач и принципов.

8. Заключительные положения.

Лица, виновные в нарушении требований Федерального закона 152-ФЗ «О персональных данных», несут персональную ответственность, предусмотренную законодательством Российской Федерации.

9. Изменение Политики.

ООО «МИРТА клиника магнитно-резонансной томографии» имеет право вносить изменения в настоящую Политику. Новая редакция Политики вступает в силу с момента ее размещения на сайте Учреждения, если иное не предусмотрено новой редакцией Политики.