Обработка персональных данных

Политика обработки персональных данных

Оказание медицинских услуг предполагает обработку и хранение персональных данных клиентов в автоматизированных информационных системах компании . В соответствии с действующим законодательством (федеральный закон от 27.06.2006 года №152-ФЗ «О персональных данных»), Центр сосудистой хирургии МГМСУ выполнила комплекс технических и организационных мероприятий для обеспечения безопасности обрабатываемых и хранимых персональных данных наших пациентов.

Центр сосудистой хирургии МГМСУ применяет в своей работе передовые IT-технологии. Поэтому одна из приоритетных задач в нашей работе — соблюдение действующего законодательства Российской Федерации в области информационной безопасности, а так же требований федерального закона от 27.06.2006 года №152-ФЗ «О персональных данных», основной целью которого является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Цель обработки персональных данных

Целью сбора, обработки, хранения, а так же других действий с персональными данными пациентов является исполнение обязательств центра перед пациентом по договору с ним.

Принципы обработки персональных данных

При обработке персональных данных пациентов Центр сосудистой хирургии МГМСУ придерживается следующих принципов:

  • - соблюдение законности получения, обработки, хранения, а так же других действий с персональными данными;
  • - строгое выполнение требований по обеспечению безопасности персональных данных и сведений, составляющих врачебную тайну при их обработке и хранении;
  • - обработка персональных данных исключительно с целью исполнения своих обязательств по договору оказания услуг;
  • - соблюдение прав субъекта персональных данных на доступ к его персональным данным.
Состав персональных данных

В состав обрабатываемых в Центре сосудистой хирургии МГМСУ персональных данных клиентов могут входить:

  • - фамилия, имя, отчество;
  • - пол;
  • - дата рождения;
  • - паспортные данные;
  • - адрес проживания;
  • - номер телефона;
  • - другая информация, необходимая для правильного проведения и интерпретации медицинских исследований (необходима в некоторых случаях для установки правильных пограничных значений результатов);
  • - результаты выполненных медицинских исследований;
Сбор (получение) персональных данных

Персональные данные пациентов Центр получает только лично от пациента или от его законного представителя. Персональные данные пациента могут быть получены с его слов и не проверяются.

Обработка персональных данных

Обработка персональных данных пациентов в Центре происходит как неавтоматизированным, так и автоматизированным способом.

К обработке персональных данных в Центре допускаются только сотрудники прошедшие определенную процедуру допуска, к которой относятся:
ознакомление сотрудника с локальными нормативными актами Центра (положения, инструкции и т.д.), строго регламентирующими порядок и процедуру работы с персональными данными пациентов;
получение сотрудником и использование в работе индивидуальных атрибутов доступа к информационным системам Центра содержащим в себе персональные данные пациентов. При этом каждому сотруднику выдаются минимально необходимые для исполнения трудовых обязанностей права на доступ в информационные системы.
Сотрудники, имеющие доступ к персональным данным пациентов, получают только те персональные данные, которые необходимы им для выполнения конкретных трудовых функций.

Хранение персональных данных

Персональные данные пациентов хранятся в бумажном и электронном виде. В электронном виде персональные данные клиентов хранятся в информационных системах персональных данных Центра, а так же в архивных копиях баз данных этих систем.
При хранении персональных данных пациентов соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним. К ним относятся:
назначение подразделения или сотрудника ответственного за тот или иной способ хранения персональных данных;
ограничение физического доступа к местам хранения и носителям;
учет всех информационных систем и электронных носителей, а так же архивных копий.

Передача персональных данных третьим лицам

Передача персональных данных третьим лицам возможна в исключительных случаях только с согласия пациентов и только с целью исполнения обязанностей перед пациентов в рамках договора оказания услуг, кроме случаев, когда такая обязанность у Центра наступает в результате требований федерального законодательства или при поступлении запроса от уполномоченных государственных органов. В данном случае Центр ограничивает передачу персональных данных запрошенным объемом. При этом субъекту персональных данных направляется уведомление о факте передачи его персональных данных третьей стороне, если такое возможно.

Персональные данные пациентов (в том числе результаты исследований) могут быть предоставлены родственникам или членам его семьи только с разрешения самого пациента, за исключением случаев, когда передача персональных данных без его согласия допускается действующим законодательством РФ. В качестве такого разрешения могут выступать:
нотариально заверенная доверенность;

Меры по обеспечению безопасности персональных данных при их обработке

Обеспечение безопасности персональных данных в Центре достигается следующими мерами:

  • - ознакомлением работников Центра сосудистой хирургии МГМСУ с требованиями законодательства Российской Федерации о персональных данных и защите информации;
  • - назначением должностных лиц ответственных за организацию и проведение работ по защите персональных данных;
  • - определением списка лиц, допущенных к работе с персональными данными;
  • - разработкой и утверждением локальных нормативных актов компании, регламентирующих порядок обработки персональных данных;
  • - разработкой для администраторов информационных систем рабочих инструкций;
  • - реализацией технических мер, снижающих вероятность угроз безопасности персональных данных;
  • - проведением периодических проверок состояния защищенности информационных систем Центра;
  • - непрерывным совершенствованием методов и способов обеспечения безопасности персональных данных.
Права пациента

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

  • - подтверждение факта обработки персональных данных;
  • - правовые основания и цели обработки персональных данных;
  • - цели и применяемые способы обработки персональных данных;
  • - сведения о лицах (за исключением сотрудников Центра), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора или на основании федерального закона;
  • - обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;
  • - сроки обработки персональных данных, в том числе сроки их хранения;
  • - порядок осуществления субъектом персональных данных своих прав.