ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ

ПОЛОЖЕНИЕ О ПОЛИТИКЕ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. Общие положения
2. 1.1. Настоящим Положением определяется Политика обработки персональных данных пациентов (далее-Политика) ООО “АктивМед” (далее – Клиника).
3. 1.2. Политика разработана в соответствии с Конституцией Российской Федерации, Трудовым Кодексом Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом № 149-ФЗ от 27 июля 2006 года «Об информации, информационных технологиях и защите информации», «Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных», иными федеральными законами и нормативно-правовыми актами.
4. 1.3. Политика разработана с целью обеспечения защиты прав и свобод субъекта персональных данных (ПД) при обработке его ПД.
5. 1.4. Обработка персональных данных пациентов осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, обеспечения личной безопасности пациентов, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
6. Основные понятия. Состав персональных данных пациентов
7. 2.1. Для целей настоящего Положения используются следующие основные понятия: персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (п. 1 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ); персональные данные, разрешенные субъектом персональных данных для распространения, – персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения в порядке, предусмотренном Федеральным законом от 27.07.2006 N 152-ФЗ (далее – персональные данные, разрешенные для распространения) (п. 1.1. ст. 3 Федерального закона от
8. 27.07.2006 N 152-ФЗ); клиника – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (п. 2 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ); обработка персональных данных пациента – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ); распространение персональных данных – действия, направленные на раскрытие персональных данных работников неопределенному кругу лиц (п. 5 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ); предоставление персональных данных – действия, направленные на раскрытие персональных данных работников определенному лицу или определенному кругу лиц (п. 6 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ); блокирование персональных данных – временное прекращение обработки персональных данных работников (за исключением случаев, если обработка необходима для уточнения персональных данных) (п. 7 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ); уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных работников и (или) в результате которых уничтожаются материальные носители персональных данных работников (п. 8 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ); обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному работнику (п. 9 ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ).
9. Сбор, обработка, хранение и уничтожение персональных данных.
10. 3.1 Все персональные данные пациента следует получать у него самого. Информация о
11. персональных данных пациента предоставляется оператору пациентом устно, либо путем
12. заполнения медицинских карт, которые хранятся в личном деле в регистратуре Клиники. Если
13. персональные данные пациента возможно получить только у третьей стороны, то пациент
14. должен быть уведомлен об этом и от него должно быть получено письменное согласие (либо
15. письменный отказ). В письменном уведомлении оператор должен сообщить пациенту о целях,
16. предполагаемых источниках и способах получения персональных данных, характере
17. подлежащих получению персональных данных (например, оформление запроса в медицинское
18. учреждение о прохождении обследования и лечения и т.п.) и последствиях отказа пациента
19. дать письменное согласие на их получение.
20. 3.2 Клиника не имеет права получать и обрабатывать персональные данные пациента о его
21. расовой, национальной принадлежности, политических взглядах, религиозных или
22. философских убеждениях.
23. 3.3 Обработка персональных данных должна осуществляться на основе принципов:

• обработка персональных данных должна осуществляться на законной и справедливой основе;
• обработка персональных данных должна ограничиваться достижением конкретных, заранее
• определенных и законных целей. Не допускается обработка персональных данных,
• несовместимая с целями сбора персональных данных;
• не допускается объединение баз данных, содержащих персональные данные, обработка
• которых осуществляется в целях, несовместимых между собой;
• обработке подлежат только персональные данные, которые отвечают целям их обработки;
• содержание и объем обрабатываемых персональных данных должны соответствовать
• заявленным целям обработки. Обрабатываемые персональные данные не должны быть
• избыточными по отношению к заявленным целям их обработки;
• при обработке персональных данных должны быть обеспечены точность персональных
• данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям
• обработки персональных данных.
• хранение персональных данных должно осуществляться в форме, позволяющей определить
• пациента персональных данных, не дольше, чем этого требуют цели обработки персональных
• данных, если срок хранения персональных данных не установлен федеральным законом,
• договором, стороной которого, выгодоприобретателем или поручителем по которому является
• субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению
• либо обезличиванию по достижении целей обработки или в случае утраты необходимости в
• достижении этих целей, если иное не предусмотрено федеральным законом
• 3.4 Согласие пациента персональных данных не требуется в случаях, определенных
• Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных» в пунктах
• 2-11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11, в том числе:
• обработка персональных данных осуществляется на основании федерального закона,
• устанавливающего цель, условия получения персональных данных и круг субъектов,
• персональные данные которых подлежат обработке, а также определяющего полномочия
• Учреждения;
• обработка персональных данных необходима для защиты жизни, здоровья или иных
• жизненно важных интересов пациента, если получение согласия пациента невозможно;
• В остальных случаях при обработке персональных данных необходимо руководствоваться ст. 6,
• 9-11 Федерального закона от 27 июля 2006 № 152-ФЗ.
• 3.5 Письменное согласие пациента на обработку своих персональных данных должно включать
• в себя:
• фамилию, имя, отчество, адрес пациента, номер основного документа, удостоверяющего его
• личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• наименование и адрес Учреждения, получающего согласие пациента;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие пациента;
• наименование и адрес лица, осуществляющего обработку персональных данных по
• поручению Учреждения, если обработка будет поручена такому лицу;
• перечень действий с персональными данными, на совершение которых дается согласие,
• общее описание используемых оператором способов обработки персональных данных;
• срок, в течение которого действует согласие, а также способ его отзыва, если иное не
• установлено федеральным законом;
• подпись.
• 3.6 Персональные данные пациентов хранятся в электронных базах данных и на бумажных
• носителях в регистратуре Клиники.
• 3.7 Персональные данные пациентов хранятся в электронных базах данных, которые
• подключены к локальной сети организации, а так же на бумажных носителях.
• 3.8 Доступ к электронным базам данных ограничен паролем.
• 3.9 Бумажными носителями персональных данных являются:
• медицинская карта амбулаторного больного, которая заводится на каждого обратившегося в
• Учреждение за оказанием медицинском помощи при первом обращении и хранится в
• регистратуре Клиники. Медицинская карта передается врачам-специалистам Клиники при
• личном обращении пациента в Клинику, по окончании приема медицинская карта сдается в
• регистратуру Клиники;
• журналы и другие формы медицинской документации, содержащие персональные данные
• пациентов, оформляются и хранятся в регистратуре, кабинетах врачей Клиники в соответствии
• с требованиями действующих приказов.
• прочие документы, используемые при оказании медицинской помощи и содержащие
• персональные данные пациентов (акты, направления, договоры, квитанции и пр.), после
• оформления передаются работнику, допущенному к работе с персональными данными, в
• должностные обязанности которого входит обработка этих данных.
• Хранение оконченных производством документов, содержащих персональные данные
• пациентов, осуществляется в архиве Клиники.
• 3.10 Персональные данные пациентов хранятся не дольше, чем этого требуют цели их
• обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты
• необходимости в их достижении. Документы, содержащие персональные данные, подлежат
• хранению и уничтожению в порядке, предусмотренном архивным законодательством
• Российской Федерации.
• 3.11 При получении сведений, составляющих персональные данные пациентов
• заинтересованные лица имеют право получать только те персональные данные, которые
• необходимы для выполнения конкретных функций и заданий.
• 3.12 Уничтожение документов (носителей), содержащих персональные данные, производится
• путем сожжения, дробления (измельчения), химического разложения, превращения в
• бесформенную массу или порошок. Для уничтожения бумажных документов допускается
• применение шредера.
• 3.13 Персональные данные на электронных носителях уничтожаются путем стирания или
• форматирования носителя.

1. Передача персональных данных Пациентов
2. 4.1 При передаче персональных данных пациентов сотрудники Клиники, имеющие доступ к
3. персональным данным, должны соблюдать следующие требования:
4. 4.1.1 Не сообщать персональные данные пациента третьей стороне без письменного согласия
5. пациента, за исключением случаев, когда это необходимо в целях предупреждения угрозы
6. жизни и здоровью пациента, а также в других случаях, предусмотренных Трудовым кодексом
7. РФ или иными федеральными законами.
8. 4.1.2 Не сообщать персональные данные пациента в коммерческих целях без его письменного
9. согласия.
10. 4.1.3 Предупредить лиц, получающих персональные данные пациента, о том, что эти данные
11. могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц
12. подтверждения того, что это правило соблюдено.
13. 4.1.4 Разрешать доступ к персональным данным пациентов только специально
14. уполномоченным лицам, при этом указанные лица должны иметь право получать только те
15. персональные данные субъектов, которые необходимы для выполнения конкретных функций.
16. Защита персональных данных.
17. 5.1 Защита персональных данных в Клинике представляет собой принятие правовых,
18. организационных и технических мер, направленных на:

• обеспечение защиты информации от неправомерного доступа, уничтожения,
• модифицирования, блокирования, копирования, предоставления, распространения, а также от
• иных неправомерных действий в отношении такой информации;
• соблюдение конфиденциальности информации ограниченного доступа;
• реализацию права на доступ к информации.
• 5.2 В целях обеспечения безопасности персональных данных при их обработке в
• информационных системах Клиники:
• установить перечень лиц, осуществляющих обработку персональных данных либо имеющих
• к ним доступ;
• обеспечивать раздельное хранение персональных данных (материальных носителей),
• обработка которых осуществляется в различных целях;
• помещения, в которых ведется работа с персональными данными, должны обеспечивать
• сохранность носителей персональных данных и средств защиты информации, а также
• исключать возможность неконтролируемого проникновения или пребывания в этих
• помещениях посторонних лиц;
• доступ к информации в электронном виде должен осуществляться с использованием
• парольной защиты, а в информационных системах персональных данных – с использованием
• средств автоматизации в соответствии с нормативными документами;
• электронные носители информации, содержащие персональные данные, учитывают в
• журнале учета электронных носителей персональных данных.
• 5.3 Обеспечение безопасности персональных данных в информационных системах
• персональных данных осуществляется в соответствии с требованиями ст. 19 Федерального
• закона от 27 июля 2006 года № 152-ФЗ «О персональных данных», Требованиями к защите
• персональных данных при их обработке в информационных системах персональных данных,
• утвержденных постановлением Правительства Российской Федерации от 1 ноября 2012г.
• №1119, нормативными и руководящими документами уполномоченных федеральных органов
• исполнительной власти.
• 5.4 Мероприятия по обеспечению безопасности персональных данных проводятся в
• соответствии с «Составом и содержанием организационным и технических мер по
• обеспечению безопасности персональных данных при их обработке в информационных
• системах персональных данных», утвержденных приказом ФСТЭК России от 18.02.2013 № 21.
• 5.5 Выбор и реализация методов и способов защиты информации в информационной системе
• осуществляются на основе определяемых Учреждением угроз безопасности персональных
• данных (модели угроз) и в зависимости от уровня защищенности информационной системы,
• определенного в соответствии с «Требованиями к защите персональных данных при их
• обработке в информационных системах персональных данных», утвержденными Приказом
• ФСТЭК России от 1 ноября 2012 г. №1119.
• 5.6 Выбранные и реализованные методы и способы защиты информации в информационной
• системе должны обеспечивать нейтрализацию предполагаемых угроз безопасности
• персональных данных при их обработке в информационных системах в составе системы
• защиты персональных данных.
• 5.7. Обеспечение безопасности персональных данных в информационных системах
• персональных данных без использования средств автоматизации осуществляется в
• соответствии с требованиями Положения об особенностях обработки персональных данных,
• осуществляемой без использования средств автоматизации, утвержденного постановлением
• Правительства Российской Федерации от 15 сентября 2008 г. № 687.
• 5.8 Сотрудники Клиники, имеющие доступ к персональным данным, обязаны принимать
• необходимые организационные и технические меры для защиты персональных данных от
• неправомерного или случайного доступа к ним, уничтожения, модифицирования,
• блокирования, копирования, распространения, а также от иных неправомерных действий в
• отношении данной информации.
• 5.9 Ответственность за нарушение норм, регулирующих обработку и защиту персональных
• данных работников
• Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту
• персональных данных работника, несут дисциплинарную, административную,
• гражданско-правовую или уголовную ответственность в соответствии с действующим
• российским законодательством.

Ланбин А.А.