ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕНТОВ
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Согласно ст. 23 Конституции РФ каждый имеет право на неприкосновенность частной жизни, личную, семейную тайну, защиту своей чести и доброго имени, реализация которого обеспечивается положением ст. 24 Конституции РФ, устанавливающим, что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается. В соответствии с законодательством Российской Федерации информация о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иные сведения, полученные при его обследовании и лечении, составляют врачебную тайну. Не допускается разглашение сведений, составляющих врачебную тайну, лицами, которым они стали известны при обучении, исполнении профессиональных, служебных и иных обязанностей, кроме случаев, установленных действующим законодательством. Отношения, связанные с обработкой персональных данных, осуществляемой юридическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, регулируются Федеральным законом от 27 июля 2006 г. № 152-ФЗ "О персональных данных" в редакции от 14.07.2022 г.
1.2. Настоящее Положение разработано в целях выполнения указанных выше норм Конституции РФ, в соответствии с требованиями законодательства Российской Федерации и иных нормативных правовых актов в сфере охраны здоровья населения и обработки персональных данных.
1.3. Настоящее Положение определяет порядок работы (получения, обработки, использования, передачи, хранения и т.д.) сотрудников медицинской организации (далее Оператор) с персональными данными пациентов и гарантии конфиденциальности сведений о пациенте, предоставленных пациентом в медицинской организации; права пациента при обработке его персональных данных; ответственность лиц за невыполнение требований норм, регулирующих обработку персональных данных пациента.
2. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕНТА
2.1. Персональные данные пациента - любая информация, относящаяся к прямо или косвенно к пациенту (субъекту персональных данных).
2.2. В целях ведения персонифицированного учета осуществляется обработка следующих персональных данных о лицах, которым оказываются медицинские услуги (пациентах):
* фамилия;
* имя;
* отчество;
* пол;
* дата рождения;
* реквизиты документа удостоверяющего личность;
* адрес места жительства;
* адрес места регистрации;
* контактные телефоны;
* место работы;
* реквизиты полиса обязательного (добровольного) медицинского страхования застрахованного лица;
* страховой номер индивидуального лицевого счета (при наличии), принятый в соответствии с законодательством Российской Федерации об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования;
* данные о состоянии здоровья, заболеваниях, случаях обращения за медицинской помощью и другую информацию - в медико-профилактических целях, в целях установления медицинского диагноза и оказания медицинских услуг по договору.
Все персональные данные, касающиеся состояния здоровья пациента, относятся к специальным категориям персональных данных и обрабатываются в соответствии с установленным законодательством и иными нормативными правовыми актами требованиями.
3. СБОР, ЦЕЛИ ОБРАБОТКИ И ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕНТА
3.1. Обработка персональных данных осуществляется:
* - после получения письменного согласия субъекта персональных данных, составленного по утверждённой Оператором форме, соответствующей требованиям федерального закона, за исключением случаев, предусмотренных частью 2 статьи 6 ФЗ «О персональных данных»;
* - после направления уведомления об обработке персональных данных ворган государственного надзора в сфере связи, информационных технологий и массовых коммуникаций территории, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона «О персональных данных»;
* - после принятия Оператором необходимых мер по защите персональных данных.
3.2. Все персональные данные пациента следует получать лично у пациента или у его законного представителя. Если персональные данные пациента возможно получить только у третьей стороны, то пациент должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
3.3. Оператор сообщает пациенту или его законному представителю о целях обработки персональных данных, предполагаемых источниках и способах получения персональных данных и последствиях отказа пациента дать письменное согласие на их получение.
3.4. Оператор осуществляет обработку персональных данных только после получения письменного согласия пациента (или его законного представителя) на обработку его персональных данных за исключением случаев, предусмотренных действующим законодательством.
3.5. При обращении за медицинской помощью пациент (или его законный представитель) предоставляет Оператору персональные данные о себе в документированной форме. А именно:
* паспорт или иной документ, удостоверяющий личность;
* полис обязательного медицинского страхования;
* направление (при наличии).
При отсутствии документов пациент (или его законный представитель) предоставляют Оператору необходимые персональные данные в устной форме.
3.6. Оператор с согласия пациента может запрашивать и получать персональные данные пациента, используя информационные системы персональных данных с применением средств автоматизации.
3.7. Обработка Оператором персональных данных пациента осуществляется исключительно в целях оказания пациенту качественной медицинской помощи в необходимых объёмах, соблюдения требований действующего законодательства, иных нормативных правовых актов, обеспечения контроля объёмов и качества оказанной медицинской помощи.
3.8. Оператор при определении объема и содержания обрабатываемых персональных данных пациента руководствуется Конституцией Российской Федерации, Основами законодательства Российской Федерации об охране здоровья граждан, иными нормативными правовыми актами в сфере охраны здоровья населения и обработки персональных данных.
3.9. Защита персональных данных пациента от неправомерного их использования или утраты обеспечивается Оператором за счет собственныхсредств в порядке, установленном законодательством, и принятыми Оператором в соответствии с ним локальными нормативными актами.
4. ПОРЯДОК ИСПОЛЬЗОВАНИЯ, ХРАНЕНИЯ, ПЕРЕДАЧИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕНТА
4.1. Персональные данные пациентов предоставляются Оператору после получения соответствующего информированного согласия пациентов на обработку их персональных данных. Персональные данные пациентов у Оператора содержаться в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств. В информационных системах персональные данные могут быть размещены на материальных, в том числе бумажных носителях (медицинская карта пациента, иные медицинские документы).
4.2. Доступ к обработке персональных данных пациентов (как с использованием средств автоматизации, так и без использования средств автоматизации) обеспечивается в установленном Оператором порядке.
4.3. Конкретные обязанности по работе с информационными системами персональных данных и материальными носителями информации, в том числе с медицинскими документами, содержащими персональные данные пациентов возлагаются на сотрудников Оператора и закрепляются в должностных инструкциях.
4.4. Работа с информационными системами персональных данных, материальными носителями, в том числе с медицинской документацией, содержащими персональные данные пациентов осуществляется в специально отведённых для этого помещениях: ординаторские, кабинеты врачей, орг.-метод. отдел, кабинет медицинской статистики, регистратура, серверная и т.д.
4.5. Требования к месту обработки персональных данных, в том числе к серверной, обеспечивающие их защищённость устанавливаются Оператором.
4.6. Перечень лиц, имеющих право доступа к персональным данным пациентов и обработке их персональных данных, определяется приказом руководителя Оператора.
4.7. С лицами, допущенными к обработке персональных данных пациентов, заключается Соглашение о неразглашении.
4.8. Лица, допущенные в установленном порядке к обработке персональных данных, имеют право обрабатывать только те персональные данные пациентов, которые необходимы для выполнения конкретных функций.
4.9. Оператор при создании и эксплуатации информационных систем персональных данных пациентов с использованием средств автоматизации обеспечивает проведение классификации информационных систем (определение уровня защищенности) в установленном порядке.
4.10. Оператор при создании и эксплуатации информационных систем персональных данных пациентов с использованием средств автоматизации и без использования средств автоматизации принимает все необходимые организационные и технические меры, обеспечивающих выполнение установленных действующим законодательством требований к обработке персональных данных.
4.11. Оператор при осуществлении обработки персональных данных пациентов без использования средств автоматизации выполняет следующие требования.
4.11.1. При ведении журналов (реестров, книг, иных документов), содержащих персональные данные пациентов, необходимые для организации оказания медицинской помощи, Оператор соблюдает следующие условия:
* необходимость ведения такого журнала (реестра, книги, иных документов) предусматривается приказом Оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги, иных документов), сроки обработки персональных данных;
* копирование содержащейся в таких журналах (реестрах, книгах, иных документах) информации не допускается, за исключением случаев, предусмотренных действующим законодательством.
4.11.2. Обработка персональных данных пациентов, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных пациентов можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
4.11.3. Обеспечивается раздельное хранение персональных данных (материальных носителей), обработка которых осуществляется в различных целях.
4.11.4. При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.
4.11.5. Уточнение персональных данных пациента при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, - путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
4.12. С согласия пациента или его законного представителя допускается передача сведений, в том числе персональных данных, составляющих врачебную тайну, другим гражданам, в том числе должностным лицам, в интересах обследования и лечения пациента, для проведения научных исследований, публикации в научной литературе, использования этих сведений в учебном процессе и в иных целях.
4.13. Передача персональных данных пациента, составляющих врачебную тайну, без согласия пациента или его законного представителя допускается может допускается в случаях, предусмотренных частью 4 статьи 13 Федерального закона Российской Федерации от 21 ноября 2011 г. N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" (далее Основы):
1) в целях проведения медицинского обследования и лечения гражданина, который в результате своего состояния не способен выразить свою волю, с учетом положений пункта 1 части 9 статьи 20 Основ;
2) при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
3) по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля за поведением условно осужденного, осужденного, в отношении которого отбывание наказания отсрочено, и лица, освобожденного условно-досрочно;
4) в случае оказания медицинской помощи несовершеннолетнему в соответствии с пунктом 2 части 2 статьи 20 Основ, а также несовершеннолетнему, не достигшему возраста, установленного частью 2 статьи 54 Основ, для информирования одного из его родителей или иного законного представителя;
5) в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий;
6) в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов, кадровых служб и военно-врачебных (врачебно-летных) комиссий федеральных органов исполнительной власти, в которых федеральным законом предусмотрена военная и приравненная к ней служба;
7) в целях расследования несчастного случая на производстве и профессионального заболевания;
8) при обмене информацией медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства Российской Федерации о персональных данных;
9) в целях осуществления учета и контроля в системе обязательного социального страхования;
10) в целях осуществления контроля качества и безопасности медицинской деятельности в соответствии с Основами.
4.14. При передаче персональных данных пациента сотрудники медицинской организации должны соблюдать следующие требования:
* не сообщать персональные данные пациента третьей стороне без письменного согласия пациента, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью пациента, а также в случаях, установленных федеральным законом;
* не сообщать персональные данные пациента в коммерческих и иных целях без его письменного согласия;
* предупредить лиц, получающих персональные данные пациента, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные пациента, обязаны соблюдать режим секретности (конфиденциальности);
* разрешать доступ к персональным данным пациентов только специально уполномоченным лицам, определенным приказом Руководителя, при этом указанные лица должны иметь право получать только те персональные данные пациента, которые необходимы для выполнения конкретных должностных функций;
* передавать персональные данные пациента представителям пациента в порядке, установленном законодательством, и ограничивать эту информацию только теми персональными данными пациента, которые необходимы для выполнения указанными представителями их функций.
4.15. Передача персональных данных от держателя или его представителей внешнему потребителю может допускаться в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.
4.16. Лица, которым в установленном законом порядке переданы сведения, составляющие врачебную тайну, наравне с медицинскими и фармацевтическими Сотрудниками с учетом причиненного гражданину ущерба несут за разглашение врачебной тайны дисциплинарную, административную или уголовную ответственность в соответствии с законодательством Российской Федерации, законодательством субъектов Российской Федерации.
5. ПРАВА ПАЦИЕНТОВ ПРИ ОБРАБОТКЕ ОПЕРАТОРОМ ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕНТОВ
5.1. В целях обеспечения защиты своих интересов, реализации прав и свобод в сфере персональных данных, регламентированных действующим законодательством пациенты, их законные представители, а также представители имеют право на:
* предоставление Оператором полной информации об их персональных данных и обработке этих данных;
* свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащейперсональные данные пациента, за исключением случаев, предусмотренных федеральным законом;
* определение своих представителей для защиты своих персональных данных;
* требование уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
* требование об извещении Оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные пациента, обо всех произведенных в них исключениях, исправлениях или дополнениях;
* обжалование действий или бездействия оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
Права пациента, представителя, законного представителя на доступ к своим персональным данным ограничиваются в случаях, предусмотренных действующим законодательством.
6. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕНТОВ
6.1 Лица, виновные в нарушении установленных требований в сфере обработки персональных данных, несут предусмотренную законодательством Российской Федерации ответственность.
6.2. Моральный вред, причиненный субъекту персональных данных вследствие нарушения его прав, нарушения правил обработки персональных данных, законодательством, а также требований к защите персональных данных подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных субъектом персональных данных убытков.
6.3. Сотрудники Оператора, получившие в установленном порядке доступ к персональным данным, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных обучающихся привлекаются к ответственности, предусмотренной действующим законодательством.
7. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
7.1. Настоящее Положение вступает в законную силу с момента утверждения его руководителем Оператора и действует до утверждения нового положения.
8. СПИСОК ИСПОЛЬЗОВАННЫХ ЗАКОНОДАТЕЛЬНЫХ И НОРМАТИВНЫХ АКТОВ
Разработка настоящего Положения осуществлена в соответствии со следующими нормативными документами:
Конституция Российской Федерации (часть 1 статьи 23, статья 24);
Трудовой кодекс Российской Федерации от 30.12.2001 г. № 197-ФЗ;
Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» в редакции от 14.07.2022 г.;
Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» в редакции от 14.07.2022 г.;
указ Президента Российской Федерации от 06.03.1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;
постановление Правительства Российской Федерации от 01.11.2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
9. НОРМАТИВНЫЕ И МЕТОДИЧЕСКИЕ ДОКУМЕНТЫ
При организации и проведении работ по обеспечению безопасности ПДн в ОГАУЗ «ИГКБ №9», субъекты ПДн должны руководствоваться следующими нормативными и методическими документами:
1. Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» в редакции от 14.07.2022 г.;
2. Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» в редакции от 14.07.2022 г.;
3. Федеральный закон от 19.12.2005 г. № 160-ФЗ «О ратификации Конвенции Совета Европы «О защите физических лиц при автоматической обработке персональных данных»;
4. Указ Президента Российской Федерации от 17.03.2008 г. № 351 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»;
5. Указ Президента Российской Федерации от 06.03.1997 г. № 188 «Об утверждении Перечня сведений конфиденциального характера»;
6. Постановление Правительства Российской Федерации от 15.09.2008 г. № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
7. Постановление Правительства Российской Федерации от 01.11.2012 г. № 1119 «Об утверждении требования к защите персональных данных при их обработке в информационных системах персональных данных»;
8. Приказ ФСТЭК России от 18.02.2013 г. № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» в редакции от 14.05.2022 г.;
9. Политика по защите персональных данных;