Политика обработки персональных данных

Политика обработки и защиты персональных данных

медицинской организации

ООО «Центр Амбулаторной Медицины»

1. Общие положения

1.1. Настоящая Политика в отношении обработки персональных данных (далее Политика)  в ООО «Центр Амбулаторной Медицины» (далее Оператор) составлена в соответствии с Федеральным законом № 152-ФЗ от 27 июля 2006 года (ред от 18.06.2017г) «О персональных данных»;   Конституцией Российской Федерации; Трудовым кодексом Российской Федерации; Гражданским кодексом Российской Федерации; Федеральным законом от 27 июля 2006 года № 149-ФЗ "Об информации, информационных технологиях и о защите информации"; постановлением Правительства РФ от 01.11.2012 № 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных"; Положением об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденного постановлением Правительства Российской Федерации №687 от 15.09.2008г.

 и иными федеральными законами и нормативно-правовыми актами.

1.2. Политика разработана с учетом требований Конституции Российской Федерации, законодательных и иных нормативных правовых актов Российской Федерации в области персональных данных (далее ПДн).

1.3. Политика является основополагающим внутренним регулятивным документом Оператора, определяющим ключевые направления его деятельности в области обработки и защиты персональных данных.

1.4.Оператор имеет право вносить изменения в Политику. При внесении изменений в заголовке Политики указывается дата последнего обновления редакции. Новая редакия Политики вступает в силу с момента ее размещения на сайте, если иное не предусмотрено новой редакцией Политики.

1.5.Действующая редакция хранится в месте нахождения Оператора по адресу: г. Красноярск, пр-т Ульяновский 4 "Д", электронная версия Политики - на сайте по адресу:  http://ambmed.ru

2. Правовое основание обработки персональных данных

Обработка ПДн осуществляется на основе следующих федеральных законов и нормативно-правовых актов Российской Федерации:

1. Конституции Российской Федерации;

2. Трудового кодекса Российской Федерации;

3. Налогового кодекса Российской Федерации;

4. Гражданского кодекса Российской Федерации;

5. Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных";

6. Федерального закона "Об информации, информационных технологиях и о защите информации" от 27.07.2006 N 149-ФЗ.

7. Федерального закона от 02.05.2006 № 59 – ФЗ (ред. от 03.11.2015 ) «О порядке рассмотрения обращений граждан Российской Федерации»

8. Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации.  Утверждено постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687.

9. Постановления от 1 ноября 2012 г. N 1119 об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных.

10. Федерального закона от 24.07.2009 года № 212 – ФЗ (ред. от 19.12.2016г.) «О страховых взносах в пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования»

11. Федерального закона от 01.04.1996 № 27 – ФЗ (ред. от 28.12.2016) «Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования»

12. Федерального закона «Об электронной подписи» от 06.04.2011 (ред. от 23.06.2016)

13. Приказа ФСТЭК России № 55, ФСБ России № 86, Мининформсвязи России № 20 от   13 февраля 2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных»;

14. Приказа ФСТЭК России от 18 февраля 2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;

15. Приказа Роскомнадзора от 05 сентября 2013 г. № 996 «Об утверждении требований и методов по обезличиванию персональных данных»;

16. Приказа ФНС от 17 ноября 2010 г. № ММВ-7-3/611 "Об утверждении формы сведений о доходах физических лиц и рекомендации по ее заполнению, формата сведений о доходах физических лиц в электронном виде, справочников".

17. Устава ООО "Центр Амбулаторной Медицины"

18. Иных нормативных правовых актов Российской Федерации и нормативных документов уполномоченных органов государственной власти.

3. Состав обрабатываемых персональных данных

3.1. Обработке Оператором подлежат ПДн следующих субъектов ПДн:

 - сотрудники Оператора;

 - пациенты Оператора, а так же их родственники и иные сопровождающие лица,  законные представители;

 - контрагенты Оператора;

 - физические лица, обратившиеся к Оператору в порядке, установленном Федеральным законом "О порядке рассмотрения обращений граждан Российской Федерации".

3.2. Состав ПДн каждой из перечисленных в п. 3.1 категории субъектов определяется согласно нормативным документам, перечисленным в разделе 2 настоящей Политики, а также нормативным документам, изданным Оператором для обеспечения их исполнения.

3.3. В случаях, предусмотренных действующим законодательством, субъект персональных данных принимает решение о предоставлении его ПДн Оператору и дает согласие на их обработку свободно, своей волей и в своем интересе.

3.4. Оператор обеспечивает соответствие содержания и объема обрабатываемых ПДн заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.

3.5. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.

4. Основные понятия персональных данных.

Для целей настоящей Политики используются следующие основные понятия:

 - персональные данные (ПДн) – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

 - автоматизированная обработка персональных данных – обработка ПДн с помощью средств вычислительной техники;

 - блокирование ПДн – временное прекращение обработки ПДн (за исключением случаев, если обработка необходима для уточнения персональных данных);

 - врачебная тайна – соблюдение конфиденциальности информации о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иных сведений, полученных при его обследовании и лечении;

 - документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель;

 - документы, содержащие персональные сведения пациента – формы медицинской и иной учетно-отчетной документации, включающие сведения о ПДн;

 - информация – сведения (сообщения, данные) независимо от формы их представления;

 - информационная система ПДн – совокупность содержащихся в базах данных ПДн и обеспечивающих их обработку информационных технологий и технических средств;

 - конфиденциальность ПДн – обязательное для соблюдения Оператором или иным получившим доступ к ПДн лицом требование не допускать их распространения и не раскрывать третьим лицам ПДн без согласия субъекта ПДн, если иное не предусмотрено федеральным законом;

 - обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность ПДн конкретному субъекту персональных данных;

 - обработка ПДн – любое действия (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;

 - обработка ПДн, содержащихся в информационной системе персональных данных либо извлеченных из такой системы, считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение ПДн в отношении каждого из субъектов ПДн, осуществляются при непосредственном участии человека;

 - общедоступные персональные данные – ПДн, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;

 - оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку ПДн, а также определяющие цели обработки ПДн, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;

 - пациент – физическое лицо (субъект), обратившееся к Оператору с целью получения медицинского обслуживания, либо состоящее в иных гражданско-правовых отношениях с Оператором по вопросам получения медицинских услуг;

 - персональные данные пациента – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, серия и номер паспорта, адрес регистрации и фактического проживания, идентификационный номер налогоплательщика (ИНН), страховое свидетельство государственного пенсионного страхования (СНИЛС), семейное, социальное положение, образование, профессия, должность, специальность, серия и номер страхового медицинского полиса и его действительность, номер амбулаторной карты, номер истории болезни, сведения о состоянии здоровья, в том числе группа здоровья, группа инвалидности и степень ограничения к трудовой деятельности, состояние диспансерного учета, зарегистрированные диагнозы по результатам обращения пациентов к врачу, в том числе при прохождении медицинских осмотров, информация об оказанных медицинских услугах, в том числе о проведенных лабораторных анализах и исследованиях и их результатах, выполненных оперативных вмешательствах, случаях стационарного лечения и их результатах, о выданных листах временной нетрудоспособности с указанием номера листа нетрудоспособности и периода нетрудоспособности, информация о выписанных и отпущенных лекарственных средствах и изделиях медицинского назначения, информация о наличии льгот (по категориям), о документах, подтверждающих право на льготу и право на льготное лекарственное обеспечение, дата и причина смерти гражданина в случае его смерти;

 - ПДн сотрудников - любая информаия, относящаяся к определенному или определяемому на основании такой информации физическому лицу(субъекту ПДн), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, серия и номер паспорта, адрес регистрации и фактического проживания, идентификационный номер налогоплательщика (ИНН), страховое свидетельство государственного пенсионного страхования (СНИЛС), семейное, социальное положение, образование, профессия, должность, специальность, сведения о составе семьи, стаж работы, контактный номер телефона, должность, сведения об аттестации, сведения о повышении квалификаии, сведения о поощрениях, почетных званиях, сведения о социальных льготах, сведения содержащиеся в трудовой книжке, номер лицевого счета.

 - биометрические ПДн - копия паспорта с фотографией;

 - предоставление персональных данных – действия, направленные на раскрытие ПДн определенному лицу или определенному кругу лиц;

 - распространение ПДн – действия, направленные на раскрытие персональных данных неопределенному кругу лиц;

 - уничтожение ПДн – действия, в результате которых становится невозможным восстановить содержание ПДн в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;

5.  Перечень действий с персональными данными и способы их обработки.

5.1. Действия Оператора по обработке ПДн включают: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

5.2. Трансграничная передача ПДн на территории иностранных государств может осуществляться Оператором только при наличии согласия субъекта персональных данных на трансграничную передачу его ПДн.

До начала осуществления трансграничной передачи ПДн Оператор обязан убедиться в том, что иностранным государством, на территорию которого осуществляется передача ПДн, обеспечивается адекватная защита прав субъектов ПДн.

5.3.  Обработка Оператором ПДн ведется автоматизированным и неавтоматизированным способами, с использованием средств вычислительной техники и без использования таких средств.

6. Принципы и цели обработки персональных данных

6.1. Политика разработана в целях реализации требований законодательства в области обработки и защиты персональных данных  и направлена на обеспечение защиты прав и свобод субъекта персональных данных при обработке его ПДн Оператором, в том числе защиты прав на неприкосновенность частной жизни, личной, семейной и врачебной тайн.

6.2. Обработка персональных данных Оператором осуществляется на основе следующих принципов:

 -  Обработка специальных категорий ПДн осуществляется Оператором в соответствии с законодательством Российской Федерации;

 - Обработка ПДн осуществляется на законной и справедливой основе;

 - Обработка персональных данных ограничивается достижением конкретных, заранее определенных и законных целей;

 - Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;

 - Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;

 - Обработке подлежат только персональные данные, которые отвечают целям их обработки;

 - Содержание и объем обрабатываемых персональных данных соответствует заявленным целям обработки. Не допускается избыточность обрабатываемых персональных данных по отношению к заявленным целям их обработки;

 - При обработке персональных данных обеспечиваются точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператором принимаются необходимые меры либо обеспечивается их принятие по удалению или уточнению неполных или неточных персональных данных;

 - Хранение персональных данных осуществляется в форме, позволяющей определить субъекта ПДн, не дольше, чем того требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн;

 - Обрабатываемые персональные данные уничтожаются либо обезличиваются по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

7. Условия обработки персональных данных.

7.1 Все персональные данные субъекта следует получать у него самого. Информация о персональных данных субъекта предоставляется оператору субъектом устно, либо путем заполнения личных карточек формы Т-2 для сотрудников (медицинских карт для пациентов), которые хранятся в личном деле в отделе кадров (регистратуре/архиве). Если персональные данные субъекта возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом и от него должно быть получено письменное согласие (либо письменный отказ). В письменном уведомлении оператор должен сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных (например, оформление запроса в медицинское учреждение о прохождении обследования и лечения и т.п.) и последствиях отказа субъекта дать письменное согласие на их получение.

7.2. Обработка персональных данных допускается в следующих случаях:

  - обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;

  - обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;

  - обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;

  - обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;

  - обработка персональных данных необходима в статистических или иных исследовательских целях, при условии обязательного обезличивания персональных данных;

7.3. Оператор вправе поручить обработку ПДн другому лицу с согласия субъекта ПДн, если иное не предусмотрено Федеральным законом, на основании заключаемого с этим лицом договора (далее – поручение оператора). При этом Оператор в договоре обязует лицо, осуществляющее обработку персональных данных по поручению Оператора, соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом;

8. Права субъектов персональных данных.

8.1. Субъекты персональных данных имеют право на:

полную информацию об их персональных данных, обрабатываемых Оператором;

доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных федеральным законом, а также на доступ к относящимся к ним медицинским данным;

уточнение своих персональных данных, их блокирование или уничтожение в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;

отзыв согласия на обработку персональных данных;

принятие предусмотренных законом мер по защите своих прав;

обжалование действия или бездействия Оператора, осуществляемого с нарушением требований законодательства Российской Федерации в области персональных данных, в уполномоченный орган по защите прав субъектов персональных данных или в суд;

осуществление иных прав, предусмотренных законодательством Российской Федерации.

9. Обеспечение защиты персональных данных.

9.1. При обработке ПДн Оператор принимает необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

9.2 Обеспечение безопасности ПДн достигается, в частности:

 - определением угроз безопасности ПДн при их обработке в информационных системах персональных данных;

 - применением организационных и технических мер по обеспечению безопасности ПДн при их обработке в информационных системах ПДн, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;

 - применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

 - оценкой эффективности принимаемых мер по обеспечению безопасности ПДн до ввода в эксплуатацию информационной системы персональных данных;

 - учетом машинных носителей ПДн;

 - обнаружением фактов несанкционированного доступа к ПДн и принятием мер;

 - восстановлением ПДн, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;

 - установлением правил доступа к ПДн, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;

 - контролем за принимаемыми мерами по обеспечению безопасности ПДн и уровня защищенности информационных систем персональных данных.

10. Заключительные положения.

10.1 Лица, виновные в нарушении требований настоящего Федерального закона, несут предусмотренную законодательством Российской Федерации ответственность.

10.2. Моральный вред, причиненный субъекту ПДн вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных настоящим Федеральным законом, а также требований к защите ПДн, установленных в соответствии с настоящим Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.