1. Общие положения
1.1. Настоящее положение принято в целях обеспечения требований защиты прав пациентов ООО «СТОМАКС» при обработке их персональных данных.
1.2. Положение определяет права и обязанности пациентов и сотрудников медицинской организации, порядок использования персональных данных. Персональные данные могут обрабатываться для целей, непосредственно связанных с деятельностью медицинской организации. ООО «СТОМАКС» собирает данные только в объеме, необходимом для достижения целей.
1.3. Настоящее Положение разработано на основе и во исполнение части 1 статьи 23, статьи 24 Конституции Российской Федерации, Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», а также во исполнение требований ст. ст. 91 – 94 Федерального закона от 21.11.2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в РФ», Трудового кодекса Российской Федерации, и ряда иных нормативных правовых актов.
2. Понятие, состав и принципы обработки персональных данных
При обработке персональных данных ООО «СТОМАКС» применяет правовые, организационные и технические меры по обеспечению безопасности персональных данных в соответствии со ст. 19 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных" и иными документами.
Персональные данные пациентов относятся к специальной категории персональных данных, обработка таких персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну. Персональные данные пациентов являются конфиденциальными сведениями. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении срока хранения, если иное не определено законодательством РФ.
Состав персональных данных.
К персональным данным пациентов, которые обрабатываются в ООО «СТОМАКС», относятся:
1. фамилия, имя, отчество;
2. дата рождения;
3. реквизиты документа, удостоверяющего личность;
4. адрес места жительства;
5. данные о состоянии здоровья;
6. сведения о случаях обращения за медицинской помощью;
Принципы обработки персональных данных.
Обработка персональных данных осуществляется на основе принципов:
1. законности целей и способов обработки персональных данных и добросовестности;
2. соответствия целей обработки персональных данных целям, заранее определенным при сборе персональных данных;
3. достоверности персональных данных и их достаточности;
4. личной ответственности сотрудников ООО «СТОМАКС» за сохранность и конфиденциальность персональных данных, а также носителей этой информации.
5. наличие четкой разрешительной системы доступа сотрудников ООО «СТОМАКС» к документам и базам данных, содержащим персональные данные.
3. Согласие пациента на обработку его персональных данных
3.1. Обработка специальных категорий персональных данных, таких как состояние здоровья, допускается только с согласия субъекта персональных данных. Согласие на обработку персональных данных (штамп на лицевой стороне медицинской карты стоматологического больного) заполнено лично субъектом персональных данных.
3.2. С согласия пациента или его законного представителя допускается передача сведений, составляющих врачебную тайну, другим гражданам, в том числе должностным лицам, в интересах обследования и лечения пациента, для проведения научных исследований, публикации в научной литературе, использования этих сведений в учебном процессе и в иных целях.
3.3. Предоставление сведений, составляющих персональные данные, без согласия пациента или его законного представителя допускается:
- в целях обследования и лечения пациента, не способного из-за своего состояния выразить свою волю;
- при угрозе распространения инфекционных заболеваний;
- по запросу органов дознания и следствия и суда в связи с проведением расследования или судебным разбирательством;
- в случае оказания помощи несовершеннолетнему в возрасте, установленном частью второй статьи 24 «Основ законодательства Российской Федерации об охране здоровья граждан», для информирования его родителей или законных представителей;
- при наличии оснований, позволяющих полагать, что вред здоровью пациента причинен в результате противоправных действий;
- в целях проведения военно-врачебной экспертизы в порядке, установленном положением о военно-врачебной экспертизе, утверждаемым Правительством Российской Федерации.
3.4. Согласие на обработку персональных данных может быть отозвано пациентом. В случае отзыва пациентом согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия пациента при наличии оснований, указанных в пунктах 2 - 11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ "О персональных данных".
4. Доступ к персональным данным
4.1. Внутренний доступ.
Доступ к персональным данным пациента имеют должностные лица, непосредственно
использующие их в служебных целях.
4.1.1. Уполномоченные лица имеют право получать только те персональные данные, которые необходимы для выполнения конкретных функций в соответствии с должностной инструкцией указанных лиц.
4.1.2. Получение сведений о персональных данных пациента третьей стороной разрешается только при наличии заявления с указанием конкретных персональных данных и целей, для которых они будут использованы, а также письменного согласия пациента, персональные
данные которого затребованы.
4.1.3. Получение персональных данных пациента третьей стороной без его письменного
согласия возможно в случаях, когда это необходимо в целях предупреждения угрозы жизни и здоровья работника, а также в случаях, установленных законом.
4.1.4. Доступ к персональным данным пациентов внутри ООО «СТОМАКС»» имеют:
- главный врач;
- администратор;
- оператор электронно-вычислительных и вычислительных машин;
- врач и медицинская сестра пациентов, получающих у них лечение (обследование);
- сами пациенты - носители своих данных.
4.2. Внешний доступ.
Сообщение сведений о персональных данных пациента другим организациям и гражданам разрешается при наличии его письменного согласия и заявления подписанного главным врачом, либо гражданином, запросившим сведения;
4.2.1. Предоставление сведений о персональных данных пациента без соответствующего его согласия возможно в следующих случаях:
- в целях предупреждения угрозы жизни и здоровья пациента;
- при поступлении официальных запросов в соответствии с положениями Федерального закона «Об оперативно-розыскных мероприятиях»;
4.2.2. Запрещается передача персональных данных пациента в коммерческих целях без согласия пациента.
4.2.3. Персональные данные вне учреждения могут представляться в государственные и
негосударственные функциональные структуры (внешний доступ):
- правоохранительные органы;
- органы статистики;
- страховые медицинские организации;
- органы социального страхования;
- управление Роспотребнадзора по Воронежской области;
- департамент здравоохранения Воронежской области;
- другие лечебно-профилактические учреждения.
5. Защита персональных данных пациентов
5.1. При передаче персональных данных пациентов с соблюдением условий, предусмотренных разделом 4 настоящего Положения, должностные лица ООО «СТОМАКС», обязаны предупредить лиц об ответственности в соответствии с законодательством Российской Федерации.
5.2. В целях обеспечения защиты персональных данных, пациент имеет право:
- получать полную информацию о своих персональных данных и обработке этих данных;
- осуществлять свободный доступ к своим персональным данным;
- требовать исключения и исправления неверных или неполных персональных данных, а также данных, обработанных с нарушением Федерального закона.
5.3. Защита персональных данных от неправомерного их использования или утраты
обеспечивается за счет медицинской организации (ООО «СТОМАКС») в порядке, установленным Федеральным законом.
Приложение 1
к положению «Об обработке и защите
персональных данных пациентов
в ООО «СТОМАКС»
Изменения вступившие в силу с 01 июля 2017 г.
ФЕДЕРАЛЬНЫЙ ЗАКОН ОТ 07.02.2017 N 13-ФЗ "О ВНЕСЕНИИ ИЗМЕНЕНИЙ В КОДЕКС РОССИЙСКОЙ ФЕДЕРАЦИИ ОБ АДМИНИСТРАТИВНЫХ ПРАВОНАРУШЕНИЯХ"
1) статью 13.11 изложить в следующей редакции:
Статья 13.11.Нарушение законодательства Российской Федерации в
области персональных данных
1. Обработка персональных данных в случаях, не предусмотренных законодательством Российской Федерации в области персональных данных, либо обработка персональных данных, несовместимая с целями сбора персональных данных, за исключением случаев, предусмотренных частью 2 настоящей статьи, если эти действия не содержат уголовно наказуемого деяния, - влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до трех тысяч рублей; на должностных лиц - от пяти тысяч до десяти тысяч рублей; на юридических лиц - от тридцати тысяч до пятидесяти тысяч рублей.
2. Обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством Российской Федерации в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством Российской Федерации в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, - влечет наложение административного штрафа на граждан в размере от трех тысяч до пяти тысяч рублей; на должностных лиц - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от пятнадцати тысяч до семидесяти пяти тысяч рублей.
3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о
реализуемых требованиях к защите персональных данных - влечет предупреждение или наложение административного штрафа на граждан в размере от семисот до одной тысячи пятисот рублей; на должностных лиц - от трех тысяч до шести тысяч рублей; на индивидуальных предпринимателей - от пяти тысяч до десяти тысяч рублей; на юридических лиц - от пятнадцати тысяч до тридцати тысяч рублей.
4. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся обработки его персональных данных, - влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц - от четырех тысяч до шести тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до пятнадцати тысяч рублей; на юридических лиц - от двадцати тысяч до сорока тысяч рублей.
5. Невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели
обработки, - влечет предупреждение или наложение административного штрафа на граждан в размере от одной тысячи до двух тысяч рублей; на должностных лиц - от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от двадцати пяти тысяч до сорока пяти тысяч рублей.
6. Невыполнение оператором при обработке персональных данных без использования средств автоматизации обязанности по соблюдению условий, обеспечивающих в соответствии с законодательством Российской Федерации в области персональных данных сохранность персональных данных при хранении материальных носителей персональных данных и исключающих несанкционированный к ним доступ, если это повлекло неправомерный или случайный доступ к персональным данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении персональных данных, при отсутствии признаков уголовно наказуемого деяния - влечет наложение административного штрафа на граждан в размере от семисот до двух тысяч рублей; на должностных лиц - от четырех тысяч до десяти тысяч рублей; на индивидуальных предпринимателей - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от двадцати пяти тысяч до пятидесяти тысяч рублей.
7. Невыполнение оператором, являющимся государственным или муниципальным органом, предусмотренной законодательством Российской Федерации в области персональных данных обязанности по обезличиванию персональных данных либо несоблюдение установленных требований или методов по обезличиванию персональных данных - влечет предупреждение или наложение административного штрафа на должностных лиц в размере от трех тысяч до шести тысяч рублей.