Приложение №1
к приказу № 37 от 11.01.2016 г.
Холмской больницы ФГБУЗ ДВОМЦ ФМБА России
«О введении режима конфиденциальности обработки персональных данных
в Холмской больнице ФГБУЗ ДВОМЦ ФМБА России»
Положение
об обработке персональных данных пациентов
в Холмской больнице ФГБУЗ ДВОМЦ ФМБА России
1. Общие положения
1.1. Настоящее Положение разработано на основе и во исполнение части 1 статьи 23, статьи 24 Конституции Российской Федерации, Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», Федерального закона от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», положений главы 14 Трудового кодекса Российской Федерации «Защита персональных данных сотрудников».
1.2. Настоящее Положение определяет порядок получения, обработки, использования, передачи, хранения и т.д. сотрудниками Холмской больницы ФГБУЗ ДВОМЦ ФМБА России (далее - Оператор) персональных данных пациентов, гарантии конфиденциальности сведений о пациенте, предоставленных пациентом в Холмскую больницу ФГБУЗ ДВОМЦ ФМБА России; права пациента при обработке его персональных данных; ответственность лиц за невыполнение требований норм, регулирующих обработку персональных данных пациента.
2. Понятие и состав персональных данных пациента
2.1. Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных – далее по тексту пациент).
Оператор – Холмская больница ФГБУЗ ДВОМЦ ФМБА России осуществляющая обработку персональных данных
Обработка персональных данных пациента - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных пациента.
Документы, содержащие персональные данные пациента – документы, необходимые для осуществления действий в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг, а также для оформления договорных отношений.
2.2. К персональным данным пациента относятся следующие сведения:
· фамилия, имя, отчество;
· пол;
· дата рождения;
· место рождения;
· гражданство;
· образование, специальность;
· место работы;
· состояние в браке;
· состав семьи;
· место регистрации;
· адрес места жительства и домашний телефон;
· сведения о факте, времени, частоте обращений в Холмскую больницу ФГБУЗ ДВОМЦ ФМБА России;
· страховой номер индивидуального лицевого счета (СНИЛС), принятый в соответствии с законодательством Российской Федерации об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования;
· номер полиса обязательного медицинского страхования застрахованного лица;
· данные о страховой медицинской организации, выбранной застрахованным лицом;
· дата регистрации в качестве застрахованного лица;
· статус застрахованного лица (работающий, неработающий);
· медицинская организация, оказавшая соответствующие услуги;
· виды оказанной медицинской помощи;
· оказанной медицинской помощи;
· диагноз;
· профиль оказания медицинской помощи;
· условия оказания медицинской помощи;
· сроки оказания медицинской помощи;
· объемы оказанной медицинской помощи;
· стоимость медицинские услуги, оказанной пациенту, и примененные лекарственные препараты;
· примененные медико-экономические стандарты;
· результат обращения за медицинской помощью;
· результаты проведенного контроля объемов, сроков, качества и условий предоставления медицинской помощи;
· иные сведения о пациенте.
3. Цели обработки данных
3.1. Обработка персональных данных пациента осуществляется исключительно в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг, оформления договорных отношений с пациентом при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну в соответствии с законодательством Российской Федерации.
Обработка персональных данных осуществляется при выполнении следующих условий:
- принятие составленного по утверждённой Оператором форме письменного согласия пациента, которое соответствует требованиям федерального закона, за исключением случаев, предусмотренных частью 2 статьи 6 ФЗ «О персональных данных»;
- отправка уведомления об обработке персональных данных в Роскомнадзор, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона «О персональных данных»;
- принятие Оператором необходимых мер по защите персональных данных.
3.2. Персональные данные пациента получаются непосредственно у пациента или у его законного представителя. В случае невозможности получения данных лично у пациента, они получаются у 3-х лиц, о чем пациент извещается.
3.3. Оператор должен сообщить пациенту о целях обработки персональных данных, предполагаемых источниках и способах получения персональных данных и последствиях отказа пациента дать письменное согласие на их получение.
3.4. При обращении за медицинской помощью пациент (или его законный представитель) предоставляет Оператору персональные данные о себе в документированной форме. А именно:
· паспорт или иной документ, удостоверяющий личность;
· полис обязательного медицинского страхования;
· направление (при наличии).
При отсутствии документов пациент (или его законный представитель) предоставляют Оператору необходимые персональные данные в устной форме.
3.5. При согласии пациента Оператор может запрашивать и получать персональные данные пациента, используя информационные системы персональных данных с применением средств автоматизации.
3.6. Обработка Оператором персональных данных пациента осуществляется исключительно в целях оказания пациенту качественной медицинской помощи в необходимых объёмах, соблюдения требований действующего законодательства, иных нормативных правовых актов, обеспечения контроля объёмов и качества оказанной медицинской помощи.
3.7. Оператор при определении объема и содержания обрабатываемых персональных данных пациента руководствуется Конституцией Российской Федерации, Основами законодательства Российской Федерации об охране здоровья граждан, иными нормативными правовыми актами в сфере охраны здоровья населения и обработки персональных данных.
3.8. Защита персональных данных пациента от неправомерного их использования или утраты обеспечивается Оператором за счет собственных средств в порядке, установленном законодательством и принятыми в соответствии с законодательством локальными нормативными актами.
4. Порядок использования, хранения, передачи персональных данных пациента
4.1. Персональные данные пациентов у Оператора содержаться в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств. Персональные данные пациентов предоставляются Оператору после получения соответствующего информированного согласия пациентов на обработку их персональных данных. В информационных системах персональные данные могут быть размещены на материальных, в том числе бумажных носителях (медицинская карта пациента, иные медицинские документы).
4.2. Доступ к обработке персональных данных пациентов (как с использованием средств автоматизации, так и без использования средств автоматизации) обеспечивается в установленном Оператором порядке.
4.3. Оператор устанавливает конкретные обязанности по работе с информационными системами персональных данных и материальными носителями информации в должностных инструкциях сотрудников.
4.4. Осуществление работы с информационными с материальными носителями и системами персональных данных, в том числе с медицинской документацией, осуществляется в специально отведённых для этого помещениях.
4.5. Оператор при создании и работе информационных систем персональных данных пациентов с использованием средств автоматизации и без использования средств автоматизации принимает все необходимые организационные и технические меры, обеспечивающих выполнение установленных действующим законодательством требований к обработке персональных данных.
4.6. Оператор устанавливает требования к месту обработки персональных данных, в том числе к серверной.
4.7. С сотрудниками, допущенными к обработке персональных данных пациентов, заключается Соглашение о неразглашении.
4.8. Сотрудники, допущенные в установленном порядке к обработке персональных данных, имеют право обрабатывать только те персональные данные пациентов, которые необходимы для выполнения конкретных функций.
4.9. Оператор при создании и эксплуатации информационных систем персональных данных пациентов с использованием средств автоматизации обеспечивает проведение классификации информационных систем в установленном порядке.
4.10. Оператор определяет перечень лиц, имеющих право доступа к персональным данным пациентов и обработке их персональных данных. Определяется приказом руководителя Оператора.
4.11. При обработке персональных данных пациентов без использования средств автоматизации Оператор выполняет следующее.
- ведет соответствующий реестр, содержащий персональные данные пациентов, форма указанного реестра устанавливается приказом Оператора, в котором предусматривается состав информации, цель обработки информации, перечень лиц, имеющих право доступа к материальным носителям с информацией, сроки обработки персональных данных. Копирование информации содержащейся в таких реестрах запрещается, за исключением случаев, предусмотренных действующим законодательством.
- обрабатывает персональные данные пациентов без использования средств автоматизации таким образом, чтобы в отношении каждой категории персональных данных пациентов можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
- отдельно хранит материальные носители информации, если их обработка производится в различных целях.
- хранит материальные носители с соблюдением условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ.
- обновление персональных данных пациента при их обработке без использования средств автоматизации, что производится путем изменения данных на материальном носителе, либо путем фиксации на том же материальном носителе сведений о вносимых в них изменениях, либо путем изготовления нового материального носителя.
4.12. С согласия пациента или его законного представителя допускается передача сведений, в том числе персональных данных, составляющих врачебную тайну, другим гражданам, в том числе должностным лицам, в интересах обследования и лечения пациента, для проведения научных исследований, публикации в научной литературе, использования этих сведений в учебном процессе и в иных целях.
4.13. Персональные данные могут быть переданы без согласия пациента или его законного представителя в случаях, предусмотренных статьей 13 Федерального закона Российской Федерации от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»:
1) в целях проведения медицинского обследования и лечения гражданина, который в результате своего состояния не способен выразить свою волю, с учетом положений пункта 1 части 9 статьи 20 настоящего Федерального закона;
2) при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
3) по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля за поведением условно осужденного, осужденного, в отношении которого отбывание наказания отсрочено, и лица, освобожденного условно-досрочно;
4) в случае оказания медицинской помощи несовершеннолетнему в соответствии с пунктом 2 части 2 статьи 20 настоящего Федерального закона, а также несовершеннолетнему, не достигшему возраста, установленного частью 2 статьи 54 настоящего Федерального закона, для информирования одного из его родителей или иного законного представителя;
5) в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий;
6) в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов, кадровых служб и военно-врачебных (врачебно-летных) комиссий федеральных органов исполнительной власти, в которых федеральным законом предусмотрена военная и приравненная к ней служба;
7) в целях расследования несчастного случая на производстве и профессионального заболевания;
8) при обмене информацией медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства Российской Федерации о персональных данных;
9) в целях осуществления учета и контроля в системе обязательного социального страхования;
10) в целях осуществления контроля качества и безопасности медицинской деятельности в соответствии с настоящим Федеральным законом.
4.14. сотрудники Оператора при передаче персональных данных пациента должны:
- не сообщать персональные данные пациента третьей стороне без письменного согласия пациента, за исключением случаев, когда это необходимо в целях предупреждения опасности жизни и здоровью пациента, а также в случаях, установленных федеральным законом;
- информировать лиц, получающих персональные данные пациента, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные пациента, обязаны соблюдать режим секретности (конфиденциальности);
- не сообщать персональные данные пациента в коммерческих и иных целях без его письменного согласия;
- разрешать доступ к персональным данным пациентов только специально уполномоченным лицам, определенным приказом руководителя Оператора, при этом указанные лица должны иметь право получать только те персональные данные пациента, которые необходимы для выполнения конкретных должностных функций;
- передавать персональные данные пациента представителям пациента в порядке, установленном законодательством, и ограничивать эту информацию только теми персональными данными пациента, которые необходимы для выполнения указанными представителями их функций.
4.15. В целях выполнения определенных задач Оператором связи может допускаться минимальный объем передачи информации третьим лицам.
4.16. В случае передачи лицам сведений, составляющих врачебную тайну, с учетом причиненного гражданину ущерба, данные лица несут за разглашение врачебной тайны наравне с медицинскими и фармацевтическими сотрудниками дисциплинарную, административную или уголовную ответственность в соответствии с законодательством Российской Федерации, законодательством субъектов Российской Федерации.
5.1. Пациент имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
• подтверждение факта обработки персональных данных Учреждением-оператором;
• правовые основания и цели обработки персональных данных;
• наименование и место нахождения Учреждения-оператора, сведения о лицах (за исключением сотрудников Учреждения-оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с Учреждением-оператором или на основании Федерального закона № 152-ФЗ;
• цели и применяемые Учреждением-оператором способы обработки персональных данных;
• обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен Федеральным законом № 152-ФЗ;
• сроки обработки персональных данных, в том числе сроки их хранения;
• порядок осуществления субъектом персональных данных прав, предусмотренных Федеральным законом;
• сведения об осуществленной или о предполагаемой трансграничной передаче данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Учреждения-оператора, если обработка поручена или будет поручена такому лицу;
• иные сведения, предусмотренные Федеральным законом № 152-ФЗ или Федеральным законодательством.
5.2. Права пациента на доступ к своим персональным данным ограничиваются в случаях, предусмотренных действующим законодательством.
6. Ответственность
6.1. Сотрудники, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных пациентов, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с действующим законодательством.
6.2. Сотрудники Оператора, получившие в установленном порядке доступ к персональным данным пациентов, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных пациентов привлекаются Оператором к дисциплинарной ответственности в порядке предусмотренной ст. 192, 193 Трудового кодекса Российской Федерации, в исключительных случаях подлежат увольнению по подпункту В пункта 6 части первой статьи 81 Трудового кодекса РФ – разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной сотруднику в связи с исполнением им трудовых обязанностей.