Печать
Категория: Uncategorised
Просмотров: 1245

Политика обработки персональных данных в
ООО «Медицинский центр «Гиппократ»


1. Общие положения
Настоящая Политика в отношении обработки персональных данных (далее – Политика) составлена в соответствии с п. 2 ст. 18.1 Федерального закона № 152-ФЗ от 27 июля 2006 года «О персональных данных» и является основополагающим внутренним нормативным документом медицинской организации ООО «Медицинский центр «Гиппократ» (далее – Клиника), определяющим ключевые направления его деятельности в области обработки и защиты персональных данныхп, оператором которых является Клиника.

Политика разработана в целях реализации требований законодательства РФ в области обработки и защиты персональных данных и направлена на обеспечение защиты прав и свобод человека при обработке его персональных данных в Клинике, в том числе защиты прав на неприкосновенность частной жизни, личной, семейной и врачебной тайн.

Положения Политики распространяются на отношения, возникающие при обработке и защите персональных данных, полученных Клиникой как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите персональных данных, полученных до ее утверждения.

Обработка персональных данных в Клинике осуществляется в связи с выполнением Клиникой функций, предусмотренных ее учредительными документами, и определяемых:

Кроме того, обработка Персональных данных в Клинике осуществляется в ходе трудовых и иных непосредственно связанных с ними отношений, в которых Клиника выступает в качестве работодателя (глава 14 Трудового кодекса Российской Федерации), в связи с реализацией Клиникой своих прав и обязанностей как юридического лица.

Клиника не осуществляет трансграничную передачу персональных данных.

Ответственным за обеспечение безопасности персональных данных является генеральный директор Клиники. На время его отсутствия данную функцию может исполнять работник Клиники, которому в соответствии с локальными нормативными актами предоставлено право подписи документов от имени Клиники.

Ответственным за организацию обработку персональных данных является генеральный директор Клиники. На время его отсутствия данную функцию может исполнять работник Клиники, которому в соответствии с локальными нормативными актами предоставлено право подписи документов от имени Клиники.

Действующая редакция настоящей Политики хранится в месте нахождения Клиники по адресу Московская область, г. Химки, ул. Совхозная, д. 9.

Электронная версия Политики размещается на сайте Клинике в сети Интернет по адресу: gippomed.ru.

 

2. Термины и сокращения

В целях настоящей Политики используются следующие термины и сокращения:

Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому на основании такой информации физическому лицу

Субъект персональных данных - физическое лицо

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных

Уполномоченный орган - Уполномоченный орган по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям закона «О персональных данных»
Федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц

Предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц

Блокирование персональных данных - временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных)

Уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных

Обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных

Автоматизированная обработка персональных данных - обработка персональных данных с помощью средств вычислительной техники

Информационная система персональных данных (ИСПД) - совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств

Пациент - физическое лицо, которому оказывается медицинская помощь или которое обратилось за оказанием медицинской помощи независимо от наличия у него заболевания и от его состояния

Медицинская деятельность - профессиональная деятельность по оказанию медицинской помощи, проведению медицинских экспертиз, медицинских осмотров и медицинских освидетельствований, санитарно-противоэпидемических (профилактических) мероприятий и профессиональная деятельность, связанная с трансплантацией (пересадкой) органов и (или) тканей, обращением донорской крови и (или) ее компонентов в медицинских целях

Лечащий врач - врач, на которого возложены функции по организации и непосредственному оказанию пациенту медицинской помощи в период наблюдения за ним и его лечения

 

3. Принципы обеспечения безопасности персональных данных

Основной задачей обеспечения безопасности персональных данных при их обработке в Клинике является предотвращение несанкционированного доступа к ним третьих лиц, предупреждение преднамеренных программно-технических и иных воздействий с целью хищения персональных данных, разрушения (уничтожения) или искажения их в процессе обработки.

Для обеспечения безопасности персональных данных Клиника руководствуется следующими принципами:
 законность
защита персональных данных основывается на положениях законодательства Российской Федерации, методических документах уполномоченного органа и министерства здравоохранения Российской Федерации
 системность
обработка персональных данных в Клинике осуществляется с учетом всех взаимосвязанных, взаимодействующих и изменяющихся во времени элементов, условий и факторов, значимых для понимания и решения проблемы обеспечения безопасности персональных данных
 комплексность
защита персональных данных строится с использованием функциональных возможностей информационных технологий, реализованных в информационных системах Клиники и других имеющихся в Клинике систем и средств защиты
 непрерывность
защита персональных данных обеспечивается на всех этапах их обработки и во всех режимах функционирования систем обработки персональных данных, в том числе при проведении ремонтных и регламентных работ
 своевременность
меры, обеспечивающие надлежащий уровень безопасности персональных данных, принимаются до начала их обработки
 преемственность и непрерывность совершенствования
модернизация и наращивание мер и средств защиты персональных данных осуществляется на основании результатов анализа практики обработки персональных данных в Клинике с учетом выявления новых способов и средств реализации угроз безопасности персональных данных, отечественного и зарубежного опыта в сфере защиты информации
 персональная ответственность
ответственность за обеспечение безопасности персональных данных возлагается на работников Клиники в пределах их обязанностей, связанных с обработкой и защитой персональных данных;
 минимизация прав доступа
доступ к персональных данных предоставляется работникам клиники в объеме, необходимом для выполнения их должностных обязанностей
 гибкость
обеспечение выполнения функций защиты персональных данных при изменении характеристик функционирования информационных систем персональных данных Клиники, а также объема и состава обрабатываемых персональных данных;
 специализация и профессионализм
реализация мер по обеспечению безопасности персональных данных осуществляются работниками Клиники, имеющими необходимые для этого квалификацию и опыт
 эффективность процедур отбора кадров
кадровая политика Клиники предусматривает тщательный подбор персонала и мотивацию работников Клиники, позволяющую исключить или минимизировать возможность нарушения ими безопасности персональных данных;
 наблюдаемость и прозрачность
меры по обеспечению безопасности персональных данных должны быть спланированы так, чтобы результаты их применения были явно наблюдаемы (прозрачны) и могли быть оценены лицами, осуществляющими контроль обработки персональных данных
 непрерывность контроля и оценки
Клиникой устанавливаются процедуры постоянного контроля использования систем обработки и защиты персональных данных, а результаты контроля регулярно анализируются.

В Клинике не производится обработка Персональных данных, несовместимая с целями их сбора. Если иное не предусмотрено федеральным законом, по окончании обработки Персональных данных в Клинике, в том числе при достижении целей их обработки или утраты необходимости в достижении этих целей, обрабатывавшиеся Клиникой персональные данные уничтожаются или обезличиваются.

При обработке персональных данных обеспечиваются их точность, достаточностьи актуальность по отношению к целям обработки. Клиника принимает необходимые меры по удалению или уточнению неполных или неточных персональных данных.

 

4. Персональные данные, обрабатываемые в Клинике

Общая информация о персональных данных, обрабатываемых в Клинике, фиксируется в Перечне персональных данных, содержащем следующие сведения:

Перечень персональных данных:

В Клинике обрабатываются:

Полный список Персональных данных представлен в Перечне Персональных данных, утвержденном генеральным директором Клиники.

В Клинике обрабатываются персональные данные следующих субъектов персональных данных:

 

 

5. Цели обработки персональных данных

Клиника обрабатывает Персональных данных в следующих целях:

 

6. Сроки обработки персональных данных

Сроки обработки персональных данных в Клинике, в общем случае, определяются в соответствии со следующими сроками:

 

7. Обработка персональных данных

Обработка персональных данных осуществляется:

Обработка персональных данных включает в себя такие действия как:

Обработка персональных данных в Клинике осуществляется следующими способами:

Клиника обеспечивает конфиденциальность персональных данных, при осуществлении обработки за исключением:

Персональные данные, полученные Клиникой до проведения идентификации субъекта персональных данных в установленном законодательством порядке, считаются обезличенными.

 

Сбор персональных данных осуществляется Клиникой:

Клиника информирует субъекта персональных данных / законного представителя субъекта персональных данных о:

Текст согласия на обработку персональных данных пациентов включается в договоры об оказании платной медицинской помощи.

Документы, содержащие Персональных данных, создаются путем:

Порядок доступа субъекта персональных данных / законного представителя субъекта персональных данных к персональным данным субъекта персональных данных, обрабатываемым Клиникой, определяется в соответствии с законодательством Российской Федерации и определяется локальными нормативными документами Клиники.

Накопление и хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки.

Хранение персональных данных, в том числе материальных носителей персональных данных, осуществляется в порядке, обеспечивающем невозможность несанкционированного доступа к ним.

Персональные данные, зафиксированные на бумажных носителях, хранятся в запираемых шкафах, либо в запираемых помещениях с ограниченным правом доступа.

Доступ работников Клиники к обрабатываемым в Клинике персональным данных осуществляется в соответствии с их должностными обязанностями и требованиями внутренних нормативных документов Клиники.

Допущенные к обработке персональных данных работники Клиники под роспись знакомятся с внутренними нормативными документами Клиники, устанавливающими порядок обработки персональных данных, включая документы, устанавливающие права и обязанности конкретных работников Клиники.

Уточнение персональных данных осуществляется Клиникой:

Распространение персональных данных осуществляется Клиникой:

В вышеуказанных случаях согласие субъекта персональных данных на обработку его персональных данных не требуется.

Передача персональных данных осуществляется в порядке, обеспечивающем конфиденциальность передаваемой информации.

В случае поручения Клиникой обработки персональных данных другому лицу на основании договора / соглашения, обязательным условием договора / соглашения является обязанность обеспечения указанным лицом конфиденциальности и безопасности персональных данных при их передаче.

Клиника передает персональных данных третьим лицам в следующих случаях:

Клиника передает персональные данные следующим третьим лицам:

Блокирование персональных данных осуществляется Клиникой в случае выявления факта обработки в Клинике недостоверных / устаревших персональных данных или неправомерных действий с ними до момента их уточнения / уничтожения / обезличивания:

Блокирование персональных данных субъекта персональных данных осуществляется на безвозмездной основе.

Уничтожение персональных данных осуществляется Клиникой:

Уничтожение документов (носителей), содержащих персональные данных, производится путем сожжения, дробления (измельчения), химического разложения, превращения в бесформенную массу или порошок.

Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.

Уничтожение персональных данных, в том числе материальных носителей персональных данных, осуществляется на основании решения специальной комиссии, состав которой определяется Ответственным за обработку персональных данных. Факт уничтожения персональных данных подтверждается документально актом об уничтожении носителей, подписанным членами такой комиссии.

Уничтожение персональных данных субъекта персональных данных осуществляется на безвозмездной основе.

Обезличивание персональных данных персональных данных осуществляется Клиникой:

Обезличивание персональных данных, в том числе хранящихся на бумажных носителях, осуществляется на основании решения специальной комиссии, состав которой определяется Ответственным за обработку персональных данных.

На персональные данные, находящиеся в архиве Клиники, действие закона о персональных данных не распространяется.

Детальный порядок архивного хранения персональных данных, в том числе доступа к архивам персональных данных, регламентируется отдельными внутренними нормативными документами.

 

8. Защита персональных данных

Клиникой создана система защиты персональных данных (СЗПД), состоящая из подсистем правовой, организационной и технической защиты.

Подсистема правовой защиты представляет собой комплекс правовых, организационно-распорядительных и нормативных документов, обеспечивающих создание, функционирование и совершенствование СЗПД.

Подсистема организационной защиты включает в себя организацию структуры управления СЗПД, разрешительной системы, защиты информации при работе с работниками Клиники, партнерами и сторонними лицами, защиты информации в открытой печати, публикаторской и рекламной деятельности, аналитической работы.

Подсистема технической защиты включает в себя комплекс технических, программных, программно-аппаратных средств, обеспечивающих защиту персональных данных.

Основными мерами защиты персональных данных, используемыми Клиникой, являются:

 

 

9. Основные права субъекта персональных данных

Субъект персональных данных / законный представитель субъекта персональных данных имеет право на получение информации, касающейся обработки персональных данных субъекта персональных данных, в том числе содержащей:

Субъект персональных данных / законный представитель персональных данных вправе требовать от Клинки уточнения персональных данных субъекта персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом о персональных данных меры по защите своих прав.

10. Основные обязанности Клиники при обработке персональных данных

Клиника обязана: