Обработка персональных данных
Правила ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ В ООО «Клиника Берс».
Оказание медицинских услуг предполагает обработку и хранение персональных данных пациентов в автоматизированных информационных системах организации. В соответствии с действующим законодательством (федеральный закон от 27.06.2006 года №152-ФЗ «О персональных данных»), ООО «Рич Мед Эстетикс» выполнила комплекс технических и организационных мероприятий для обеспечения безопасности обрабатываемых и хранимых персональных данных наших пациентов.
ООО «Рич Мед Эстетикс» является высокотехнологичной компанией, применяющей в своей работе передовые IT-технологии. Поэтому одна из приоритетных задач в работе компании - соблюдение действующего законодательства Российской Федерации в области информационной безопасности, а так же требований федерального закона от 27.06.2006 года №152-ФЗ «О персональных данных», основной целью которого является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
ЦЕЛЬ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.
Целью сбора, обработки, хранения, а так же других действий с персональными данными пациентов является исполнение обязательств Клиники перед пациентом по договору с ним.
ПРИНЦИПЫ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ.
При обработке персональных данных пациентов ООО «Рич Мед Эстетикс» придерживается следующих принципов:
- соблюдение законности получения, обработки, хранения, а так же других действий с персональными данными;
- строгое выполнение требований по обеспечению безопасности персональных данных и сведений, составляющих врачебную тайну при их обработке и хранении;
- обработка персональных данных исключительно с целью исполнения своих обязательств по договору оказания услуг;
- соблюдение прав субъекта персональных данных на доступ к его персональным данным.
СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
В состав обрабатываемых в ООО «Рич Мед Эстетикс» персональных данных пациентов могут входить:
- фамилия, имя, отчество;
- пол;
- дата рождения;
- паспортные данные (для заполнения договора на оказание платных медицинских услуг);
- адрес проживания;
- номер телефона;
- другая информация, необходимая для правильного проведения и интерпретации медицинских исследований (необходима в некоторых случаях для установки правильных пограничных значений результатов);
- результаты выполненных медицинских исследований.
СБОР (ПОЛУЧЕНИЕ) ПЕРСОНАЛЬНЫХ ДАННЫХ.
Персональные данные пациентов Клиника получает только лично от пациента или от его законного представителя. Персональные данные пациента могут быть получены с его слов и не проверяются.
ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ.
Обработка персональных данных пациентов в Клинике происходит как неавтоматизированным, так и автоматизированным способом.
К обработке персональных данных в Клинике допускаются только сотрудники прошедшие определенную процедуру допуска, к которой относятся:
ознакомление сотрудника с локальными нормативными актами Клиники (положения, инструкции и т.д.), строго регламентирующими порядок и процедуру работы с персональными данными пациентов;
получение сотрудником и использование в работе индивидуальных атрибутов доступа к информационным системам Клиники, содержащим в себе персональные данные пациентов. При этом каждому сотруднику выдаются минимально необходимые для исполнения трудовых обязанностей права на доступ в информационные системы.
Сотрудники, имеющие доступ к персональным данным пациентов, получают только те персональные данные, которые необходимы им для выполнения конкретных трудовых функций.
ХРАНЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ.
Персональные данные клиентов хранятся в бумажном (договор, медицинская карта амбулаторного больного) и электронном виде. В электронном виде персональные данные пациентов хранятся в информационных системах персональных данных Клиники, а так же в архивных копиях баз данных этих систем.
При хранении персональных данных пациентов соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним. К ним относятся:
- назначение подразделения или сотрудника ответственного за тот или иной способ хранения персональных данных;
- ограничение физического доступа к местам хранения и носителям;
- учет всех информационных систем и электронных носителей, а так же архивных копий.
ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ.
Передача персональных данных третьим лицам возможна в исключительных случаях только с согласия пациента и только с целью исполнения обязанностей перед пациентом в рамках Договора оказания платных медицинских услуг, кроме случаев, когда такая обязанность у Клиники наступает в результате требований федерального законодательства или при поступлении запроса от уполномоченных государственных органов. В данном случае Клиника ограничивает передачу персональных данных запрошенным объемом. При этом субъекту персональных данных направляется уведомление о факте передачи его персональных данных третьей стороне, если такое возможно.
Персональные данные пациента (в том числе результаты исследований) могут быть предоставлены родственникам или членам его семьи только с разрешения самого пациента, за исключением случаев, когда передача персональных данных без его согласия допускается действующим законодательством РФ. В качестве такого разрешения могут выступать:
- нотариально заверенная доверенность.
МЕРЫ ПО ОБЕСПЕЧЕНИЮ БЕЗОПАСНОСТИ ПЕРСОНАЛЬНЫХ ДАННЫХ ПРИ ИХ ОБРАБОТКЕ.
Обеспечение безопасности персональных данных в Клинике достигается следующими мерами:
- ознакомлением работников ООО «Рич Мед Эстетикс» с требованиями законодательства Российской Федерации о персональных данных и защите информации;
- назначением должностных лиц ответственных за организацию и проведение работ по защите персональных данных;
- определением списка лиц, допущенных к работе с персональными данными;
- разработкой и утверждением локальных нормативных актов организации, регламентирующих порядок обработки персональных данных. Разработкой для администраторов информационных систем рабочих инструкций;
- реализацией технических мер, снижающих вероятность угроз безопасности персональных данных;
- проведением периодических проверок состояния защищенности информационных систем организации.
- непрерывным совершенствованием методов и способов обеспечения безопасности персональных данных.
ПРАВА ПАЦИЕНТА.
Субъект персональных данных имеет право на получение информации, касающейся - обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных;
- правовые основания и цели обработки персональных данных;
- цели и применяемые способы обработки персональных данных;
- сведения о лицах (за исключением сотрудников компании), которые имеют доступ к - персональным данным или которым могут быть раскрыты персональные данные на - основании договора или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных своих прав.