Обработка персональных данных
Политика обработки персональных данных
Оказание медицинских услуг предполагает обработку и хранение персональных данных клиентов в автоматизированных информационных системах компании . В соответствии с действующим законодательством (федеральный закон от 27.06.2006 года №152-ФЗ «О персональных данных»), Центр сосудистой хирургии МГМСУ выполнила комплекс технических и организационных мероприятий для обеспечения безопасности обрабатываемых и хранимых персональных данных наших пациентов.
Центр сосудистой хирургии МГМСУ применяет в своей работе передовые IT-технологии. Поэтому одна из приоритетных задач в нашей работе — соблюдение действующего законодательства Российской Федерации в области информационной безопасности, а так же требований федерального закона от 27.06.2006 года №152-ФЗ «О персональных данных», основной целью которого является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
Цель обработки персональных данных
Целью сбора, обработки, хранения, а так же других действий с персональными данными пациентов является исполнение обязательств центра перед пациентом по договору с ним.
Принципы обработки персональных данных
При обработке персональных данных пациентов Центр сосудистой хирургии МГМСУ придерживается следующих принципов:
- - соблюдение законности получения, обработки, хранения, а так же других действий с персональными данными;
- - строгое выполнение требований по обеспечению безопасности персональных данных и сведений, составляющих врачебную тайну при их обработке и хранении;
- - обработка персональных данных исключительно с целью исполнения своих обязательств по договору оказания услуг;
- - соблюдение прав субъекта персональных данных на доступ к его персональным данным.
Состав персональных данных
В состав обрабатываемых в Центре сосудистой хирургии МГМСУ персональных данных клиентов могут входить:
- - фамилия, имя, отчество;
- - пол;
- - дата рождения;
- - паспортные данные;
- - адрес проживания;
- - номер телефона;
- - другая информация, необходимая для правильного проведения и интерпретации медицинских исследований (необходима в некоторых случаях для установки правильных пограничных значений результатов);
- - результаты выполненных медицинских исследований;
Сбор (получение) персональных данных
Персональные данные пациентов Центр получает только лично от пациента или от его законного представителя. Персональные данные пациента могут быть получены с его слов и не проверяются.
Обработка персональных данных
Обработка персональных данных пациентов в Центре происходит как неавтоматизированным, так и автоматизированным способом.
К обработке персональных данных в Центре допускаются только сотрудники прошедшие определенную процедуру допуска, к которой относятся:
ознакомление сотрудника с локальными нормативными актами Центра (положения, инструкции и т.д.), строго регламентирующими порядок и процедуру работы с персональными данными пациентов;
получение сотрудником и использование в работе индивидуальных атрибутов доступа к информационным системам Центра содержащим в себе персональные данные пациентов. При этом каждому сотруднику выдаются минимально необходимые для исполнения трудовых обязанностей права на доступ в информационные системы.
Сотрудники, имеющие доступ к персональным данным пациентов, получают только те персональные данные, которые необходимы им для выполнения конкретных трудовых функций.
Хранение персональных данных
Персональные данные пациентов хранятся в бумажном и электронном виде. В электронном виде персональные данные клиентов хранятся в информационных системах персональных данных Центра, а так же в архивных копиях баз данных этих систем.
При хранении персональных данных пациентов соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним. К ним относятся:
назначение подразделения или сотрудника ответственного за тот или иной способ хранения персональных данных;
ограничение физического доступа к местам хранения и носителям;
учет всех информационных систем и электронных носителей, а так же архивных копий.
Передача персональных данных третьим лицам
Передача персональных данных третьим лицам возможна в исключительных случаях только с согласия пациентов и только с целью исполнения обязанностей перед пациентов в рамках договора оказания услуг, кроме случаев, когда такая обязанность у Центра наступает в результате требований федерального законодательства или при поступлении запроса от уполномоченных государственных органов. В данном случае Центр ограничивает передачу персональных данных запрошенным объемом. При этом субъекту персональных данных направляется уведомление о факте передачи его персональных данных третьей стороне, если такое возможно.
Персональные данные пациентов (в том числе результаты исследований) могут быть предоставлены родственникам или членам его семьи только с разрешения самого пациента, за исключением случаев, когда передача персональных данных без его согласия допускается действующим законодательством РФ. В качестве такого разрешения могут выступать:
нотариально заверенная доверенность;
Меры по обеспечению безопасности персональных данных при их обработке
Обеспечение безопасности персональных данных в Центре достигается следующими мерами:
- - ознакомлением работников Центра сосудистой хирургии МГМСУ с требованиями законодательства Российской Федерации о персональных данных и защите информации;
- - назначением должностных лиц ответственных за организацию и проведение работ по защите персональных данных;
- - определением списка лиц, допущенных к работе с персональными данными;
- - разработкой и утверждением локальных нормативных актов компании, регламентирующих порядок обработки персональных данных;
- - разработкой для администраторов информационных систем рабочих инструкций;
- - реализацией технических мер, снижающих вероятность угроз безопасности персональных данных;
- - проведением периодических проверок состояния защищенности информационных систем Центра;
- - непрерывным совершенствованием методов и способов обеспечения безопасности персональных данных.
Права пациента
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- - подтверждение факта обработки персональных данных;
- - правовые основания и цели обработки персональных данных;
- - цели и применяемые способы обработки персональных данных;
- - сведения о лицах (за исключением сотрудников Центра), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора или на основании федерального закона;
- - обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;
- - сроки обработки персональных данных, в том числе сроки их хранения;
- - порядок осуществления субъектом персональных данных своих прав.