Политика в отношении сбора и обработки персональных данных медицинской организации
1. Общие положения
1.1. Настоящая Политика определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных в Обществе с ограниченной ответственностью «МиГ» с целью защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, гарантируемых Конституцией РФ.
1.2. Политика обработки персональных данных разработана в соответствии с ФЗ от 27.07.2006 г. N 152 "О персональных данных", ФЗ № 323 от 21.11.2011 года «Об основах охраны здоровья граждан в РФ», Постановлением Правительства РФ № 1119 от 01.11.2012 года «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», Постановления Правительства РФ № 687 от 15.09.2008 года «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», Приказа ФСТЭК России № 21 от 18.02.2013 года «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
1.3. Настоящая Политика раскрывает принципы, порядок и условия обработки персональных данных физических лиц при обращении за медицинской помощью в медицинскую организацию.
1.4. Принципы, порядок и условия обработки персональных данных кадрового состава клиники, а также персональных данных, обрабатываемых в процессе исполнения договорных обязательств в процессе повседневной деятельности в настоящей Политике не рассматриваются и регламентируются внутренними нормативными документами медицинской организации.
2. Категории обрабатываемых персональных данных
2.1. Персональные данные пациентов (лиц, являющихся стороной договора на оказание медицинских услуг), обрабатываемые на предприятии:
- паспортные данные;
- номера телефонов для связи с пациентом (контактная информация);
- информация о состоянии здоровья, наличии или отсутствии заболеваний, перечисленных в Анкете о здоровье пациента, оформляемой в процессе сбора анамнеза.
2.2. Перечень формируемых документов при обращении пациента в медицинскую организацию предусматривается Гражданским кодексом РФ, ФЗ «Об основах охраны здоровья граждан в РФ», Постановлением Правительства РФ № 1006 от 04.10.2012 года «Об утверждении правил предоставления медицинскими организациями платных медицинских услуг», Приказом Минздрава России от 14.09.2020 N 972н "Об утверждении Порядка выдачи медицинскими организациями справок и медицинских заключений" (Зарегистрировано в Минюсте России 04.12.2020 N 61261)
3. Цели и сроки обработки персональных данных.
3.1. Целью обработки персональных данных пациентов, обратившихся в медицинскую организацию являются:
- исполнение договора на оказание медицинских услуг, стороной которого является пациент;
- медико-профилактические цели (установление медицинского диагноза, оказание медицинских услуг, контроль качества оказания медицинской помощи и пр.).
3.2. Сроки обработки персональных данных напрямую зависят от сроков хранения гражданско-правовых договоров, а также медицинской документации и составляют:
- для персональных данных, полученных в связи с заключением договора на оказание медицинских услуг – 5 лет;
- для персональных данных специальных категорий (данные о здоровье) – 5 лет в медицинской организации, 75 лет - в архиве.
4. Принципы и условия обработки персональных данных
4.1. Обработка персональных данных в Обществе с ограниченной ответственностью «МиГ» осуществляется на основе следующих принципов:
- законности и справедливости целей и способов обработки;
- ограничения обработки персональных данных достижением конкретных, заранее определённых и законных целей;
- недопущения обработки персональных данных, несовместимой с целями сбора персональных данных.
- недопущения объединения баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- обработки только тех персональных данных, которые отвечают целям их обработки;
- соответствия содержания и объёма обрабатываемых персональных данных заявленным целям обработки;
- недопущения обработки избыточных персональных данных по отношению к заявленным целям их обработки;
- уничтожения либо обезличивания персональных данных по достижении целей их обработки или в случае утраты необходимости в достижении этих целей.
4.2. Медицинская организация обрабатывает персональные данные только при наличии хотя бы одного из следующих условий:
- обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
- обработка персональных данных необходима для достижения целей, предусмотренных законом (пп.4.п.2.ст.10 ФЗ № 152);
- обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных;
- осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом;
- обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.
4.3. Медицинская организация и иные лица, получившие доступ к персональным данным в силу трудовых обязанностей, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
5. Права субъекта персональных данных
5.1. Субъект персональных данных принимает решение о предоставлении его персональных данных и даёт согласие на их обработку свободно, своей волей и в своём интересе без принуждения или введения в заблуждение с чьей-либо стороны.
5.2. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, если такое право не ограничено в соответствии с федеральными законами.
5.3. Субъект персональных данных вправе требовать уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
5.4. Запрещается принятие на основании исключительно автоматизированной обработки персональных данных решений, порождающих юридические последствия в отношении субъекта персональных данных или иным образом затрагивающих его права и законные интересы, за исключением случаев, предусмотренных федеральными законами, или при наличии согласия в письменной форме субъекта персональных данных.
6. Обеспечение безопасности персональных данных
6.1. Безопасность персональных данных, обрабатываемых медицинской организацией, обеспечивается реализацией правовых, организационных, технических и программных мер, необходимых и достаточных для обеспечения требований федерального законодательства в области защиты персональных данных.
6.2. Меры по обеспечению безопасности персональных данных включают в себя, в частности:
- назначение ответственного за организацию обработки персональных данных;
- издание локальных правовых актов, регулирующих права и обязанности оператора персональных данных, описывающих систему мер по защите персональных данных, определяющих доступ к информационным системам персональных данных;
- определение угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применение методов (способов) защиты информации;
- оценку эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учет машинных носителей персональных данных;
- обнаружение фактов несанкционированного доступа к персональным данным и принятие мер;
- восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установление правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечение регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- контроль принимаемых мер по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
7. Заключительные положения
7.1. Настоящая Политика является локальным правовым актом, общедоступна и подлежит размещению на официальном сайте медицинской организации.
7.2. Контроль исполнения требований настоящей Политики осуществляется лицом, ответственным за организацию обработки персональных данных.
СОГЛАСИЕ
на обработку персональных данных пациента
Я,нижеподписавшийся____________________________________________________
(Ф.И.О. полностью)
________________________________________________________________________
зарегистрированный по адресу: __________.__________________________________,
проживающий по адресу: __________________________________________________,
документ, удостоверяющий личность___________серия_______номер_____________,
выдан___________________________________________________________________
(дата и название выдавшего органа)
в соответствии с требованиями ст. ст. 23, 24 Конституции РФ, статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», статьи 13 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» я даю свое согласие на обработку Обществу с ограниченной ответственностью «МиГ», расположенному по адресу: 165300, г. Котлас, Архангельская область, ул. Набережная, д. 14 (далее – Оператор), моих персональных данных, включающих:
фамилию, имя, отчество, пол, дату рождения, адрес места жительства, место рождения, семейное положение,контактные телефоны, реквизиты паспорта (документа, удостоверяющего личность), реквизиты полиса ОМС (ДМС), страховой номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС), реквизиты справки МСЭ, место работы, данные о состоянии здоровья, заболеваниях, случаях обращения за медицинской помощью и другую информацию –
в медико-профилактических целях, в целях медицинского диагноза и оказания медицинских услуг по договору, осуществления иных, связанных с этим мероприятий, при условии сохранения врачебной тайны,в целях обеспечения безопасности сотрудников медицинской организации и моей безопасности в ходе оказания медицинских услуг; в целях рассмотрения конфликтов, стороной которых я являюсь, в целях проведения внутреннего контроля качества и безопасности медицинской помощи,
Предоставляю Оператору право осуществлять следующие действия (операции) с персональными данными: сбор, систематизацию, накопление, хранение, обновление, изменение, использование, обезличивание, блокирование, уничтожение.
Оператор вправе осуществлять следующие способы обработки персональных данных: на бумажных носителях, в информационных системах персональных данных с использованием и без использования средств автоматизации, а также смешанным способом.
В процессе оказания Оператором мне медицинских услуг я предоставляю право Оператору передавать мои персональные данные, в том числе составляющие врачебную тайну, с соблюдением мер, обеспечивающих их защиту, в интересах моего обследования, лечения и учета следующим лицам:
- страховым медицинским организациям (в рамках ОМС И ДМС), контролирующим органам: ФОМС, ТФОМС, СФР, ФНС, ФСС, Росстату, Министерству здравоохранения Архангельской области(ЕГИСЗ МЗ).
Срок хранения моих персональных данных соответствует сроку хранения первичных медицинских документов (медицинской карты) и составляет двадцать пять лет.
Передача моих персональных данных иным лицам или иное их разглашение может осуществляться только с моего дополнительного письменного согласия.
Настоящее согласие дано мной «_____»___________20___г. и действует бессрочно. Условием прекращения обработки персональных данных является получение Оператором моего письменного уведомления об отзыве Согласия на обработку моих персональных данных.
Подпись субъекта персональных данных _________________ _________________________
расшифровка подписи