Положение по обработке и защите персональных данных

Приложение № 13 к приказу ООО «Авицена»

от 30.12.2022 № 15

 Положение по обработке и защите персональных данных в ООО «Авицена»

 

  1. Общие положения
    • Настоящее Положение по обработке и защите персональных данных (далее - Положение) разработано в соответствии с Конституцией РФ, Трудовым кодексом РФ, ФЗ от 27.07.2006 № 152-ФЗ «О персональных данных», ФЗ от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», ФЗ от 07.2014 № 242 «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно- телекоммуникационных сетях», ФЗ от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», постановлением Правительства от 01.11.2012 № 1119

«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных», постановлением Правительства от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации», приказа ФСТЭК от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер  по  обеспечению  безопасности  персональных  данных  при  их  обработке в информационных системах персональных данных».

  • Цель разработки Положения - определение порядка обработки сбора, систематизации, накопления, уточнения, использования, хранения, распространения и защиты персональных данных работников и пациентов ООО «Авицена», персональные данные которых подлежат обработке, на основании полномочий оператора; обеспечение защиты прав и свобод человека и гражданина, в т.ч. работника учреждения, при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, а также установление ответственности должностных лиц, имеющих доступ к персональным данным, за невыполнение требований норм, регулирующих обработку и защиту персональных данных.
  • Порядок ввода в действие и изменения Положения.
    • Настоящее Положение вступает в силу с момента его утверждения и действует бессрочно, до замены его новым Положением.
    • Все изменения в Положение вносятся приказом.
  • Все работники ООО «Авицена» должны быть ознакомлены с настоящим Положением под роспись.
  • Режим конфиденциальности персональных данных снимается в случаях их обезличивания и по истечении 75 лет срока их хранения, или продлевается на основании заключения экспертной комиссии учреждения, если иное не определено законом.

 

II.  Основные понятия и состав персональных данных работников

1.1.    Для    целей    настоящего    Положения    используются                      следующие основные понятия:

  • работник – физическое лицо, состоящее в трудовых отношениях с работодателем.
  • защита персональных   данных    –                 деятельность                     уполномоченных                   лиц                    по обеспечению с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер конфиденциальности информации о конкретном работнике, клиенте;
  • конфиденциальная информация – это информация (в документированном или электронном виде), доступ к которой ограничивается в соответствии с законодательством Российской Федерации.
  • персональные данные работника - любая информация, относящаяся к определенному или определяемому на основании такой информации работнику, в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, необходимая работодателю в связи с трудовыми отношениями;
  • обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
  • конфиденциальность персональных данных - обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным работников, требование не допускать их распространения без согласия работника или иного законного основания;
  • распространение персональных данных - действия, направленные на передачу персональных данных работников определенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных работников в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным работников каким-либо иным способом;
  • использование персональных данных - действия (операции) с персональными данными, совершаемые должностным лицом учреждения в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении работников либо иным образом затрагивающих их права и свободы или права и свободы других лиц;
  • блокирование персональных данных - временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных работников, в том числе их передачи;
  • уничтожение персональных данных - действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных работников или в результате которых уничтожаются материальные носители персональных данных работников;
  • обезличивание персональных данных - действия, в результате которых невозможно определить принадлежность персональных данных конкретному работнику;
  • общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия работника или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.
  • информация - сведения (сообщения, данные) независимо от формы их представления[2].
  • документированная информация - зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
    • Персональные данные работника используются для целей, связанных с выполнением работником трудовых функций. На основании персональных данных работника решается вопрос о допуске его к информации, составляющей служебную или коммерческую тайну.

При принятии решений, затрагивающих интересы работника, Работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного поступления. Работодатель также не вправе принимать решения, затрагивающие интересы работника, основываясь на данных, допускающих двоякое толкование. В случае, если на основании персональных данных работника невозможно достоверно установить какой- либо факт, Работодатель предлагает работнику представить письменные разъяснения.

В состав персональных данных работников входят документы, содержащие информацию о паспортных данных, образовании, отношении к воинской обязанности, семейном положении, месте жительства, состоянии здоровья, а также о предыдущих местах их работы.

  • Комплекс документов, сопровождающий процесс оформления трудовых отношений работника в учреждении при его приеме, переводе и увольнении.
    • Информация, представляемая работником при поступлении на работу в ООО «Авицена», должна иметь документальную форму. При заключении трудового договора в соответствии со ст. 65 Трудового кодекса Российской Федерации лицо, поступающее на работу, предъявляет работодателю:
  • паспорт или иной документ, удостоверяющий личность;
  • трудовую книжку, за исключением случаев, когда трудовой договор заключается впервые или работник поступает на работу на условиях совместительства, либо трудовая книжка у работника отсутствует в связи с ее утратой или по другим причинам;
  • страховое свидетельство государственного пенсионного страхования;
  • документы воинского учета - для военнообязанных и лиц, подлежащих воинскому

учету;

  • документы об образовании, о квалификации или наличии специальных знаний -

при поступлении на работу, требующую специальных знаний или специальной подготовки;

  • свидетельство о присвоении ИНН (при его наличии у работника);
  • справки об отсутствии судимости.
    • Перечень обрабатываемых персональных данных работников утвержден приложением № 5 к приказу генерального директора от 30.12.2022 № 15.
    • В кабинете специалиста по кадрам создаются и хранятся следующие группы документов, содержащие данные о работниках в единичном или сводном виде:
      • Документы, содержащие персональные данные работников (комплексы документов, сопровождающие процесс оформления трудовых отношений при приеме на работу, переводе, увольнении; комплекс материалов по анкетированию, тестированию; проведению собеседований с кандидатом на должность; подлинники и копии приказов по личному составу; личные дела и трудовые книжки работников; дела, содержащие основания к приказу по личному составу; дела, содержащие материалы аттестации работников; служебных расследований; справочно-информационный банк данных по персоналу (картотеки, журналы); подлинники и копии отчетных, аналитических и справочных материалов, передаваемых руководству учреждения, руководителям структурных подразделений; копии отчетов, направляемых в государственные органы статистики, налоговые инспекции, вышестоящие органы управления и другие учреждения).
      • Документация по организации работы структурных подразделений (положения о структурных подразделениях, должностные инструкции работников, приказы, распоряжения, указания руководства учреждения); документы по планированию, учету, анализу и отчетности в части работы с персоналом учреждения.

 

2.4.  Сбор, обработка и защита персональных данных

Порядок получения персональных данных.

  • Все персональные данные работников медицинского центра следует получать у него самого. Если персональные данные возможно получить только у третьей стороны, то работник должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие. Должностное лицо работодателя должно сообщить работнику о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа дать письменное согласие на их получение.
  • Работодатель не имеет права получать и обрабатывать персональные данные работника учреждения о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. В случаях, непосредственно связанных с вопросами трудовых отношений, в соответствии со ст. 24 Конституции Российской Федерации работодатель вправе получать и обрабатывать данные о частной жизни работника только с его письменного согласия.

Обработка указанных персональных данных работников работодателем возможна только с их согласия либо без их согласия в следующих случаях:

  • персональные данные являются общедоступными;
  • персональные данные относятся к состоянию здоровья работника и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия работника невозможно;
  • по требованию     полномочных     государственных     органов     в случаях, предусмотренных федеральным законом.
    • Работодатель вправе обрабатывать персональные данные работников только с их письменного согласия.

2.4.5. Письменное согласие работника на обработку своих персональных данных должно включать в себя:

  • фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  • наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  • срок, в течение которого действует согласие, а также порядок его отзыва.

Форма заявления о согласии работника на обработку персональных данных утверждена в приложении № 22 к приказу Генерального директора от 30.12.2022.

2.4.6. Согласие работника не требуется в следующих случаях:

  • обработка персональных данных осуществляется на основании Трудового кодекса РФ или иного федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия работодателя;
  • обработка персональных данных осуществляется в целях исполнения трудового договора;
  • обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;

 

  • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов работника, если получение его согласия невозможно.

2.5.  Порядок обработки, передачи и хранения персональных данных.

  • Работник учреждения предоставляет специалисту по кадрам достоверные сведения о себе. Специалист по кадрам проверяет достоверность сведений, сверяя данные, предоставленные работником, с имеющимися у работника документами.
  • В соответствии со ст. 86, гл. 14 ТК РФ в целях обеспечения прав и свобод человека и гражданина директор учреждения и его представители при обработке персональных данных работника должны соблюдать следующие общие требования:
  • Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
  • При определении объема и содержания, обрабатываемых персональных данных Работодатель должен руководствоваться Конституцией Российской Федерации, Трудовым кодексом Российской Федерации и иными федеральными законами.
  • При принятии решений, затрагивающих интересы работника, Работодатель не имеет права основываться на персональных данных работника, полученных исключительно в результате их автоматизированной обработки или электронного получения.
  • Защита персональных данных работника от неправомерного их использования или утраты обеспечивается Работодателем за счет его средств в порядке, установленном федеральным законом.
  • Работники и их представители должны быть ознакомлены под расписку с документами Организации, устанавливающими порядок обработки персональных данных работников, а также об их правах и обязанностях в этой области.
  • Во всех случаях отказ работника от своих прав на сохранение и защиту тайны недействителен.

 

2.6.  Передача персональных данных работника

  • При передаче персональных данных работника Работодатель должен соблюдать следующие требования:
  • Не сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.
  • Не сообщать персональные данные работника в коммерческих целях без его письменного согласия. Обработка персональных данных работников в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с его предварительного согласия.
  • Предупредить лиц, получивших персональные данные работника, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получившие персональные данные работника, обязаны соблюдать режим секретности (конфиденциальности).

 

Данное Положение не распространяется на обмен персональными данными работников в порядке, установленном федеральными законами.

  • Осуществлять передачу персональных данных работников в пределах учреждения в соответствии с настоящим Положением.
  • Разрешать доступ к персональным данным работников только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные работника, которые необходимы для выполнения конкретной функции.
  • Не запрашивать информацию о состоянии здоровья работника, за исключением тех сведений, которые относятся к вопросу о возможности выполнения работником трудовой функции.
  • Передавать персональные данные работника представителям работников в порядке, установленном Трудовым кодексом Российской Федерации, и ограничивать эту информацию только теми персональными данными работника, которые необходимы для выполнения указанными представителями их функции.
    • Передача информации третьей стороне возможна только при письменном согласии работников.

При передаче Работодателем персональных данных работника сотрудник должен дать на это согласие в письменной или электронной форме. Если сотрудник оформил согласие на передачу персональных данных в электронной форме, то он подписывает согласие усиленной электронной цифровой подписью.

Работодатель вправе передать информацию, которая относится к персональным данным работника без его согласия, если такие сведения нужно передать по запросу государственных органов, в порядке, установленном федеральным законом.

Работодатель не вправе предоставлять персональные данные работника третьей стороне без письменного согласия работника за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, а также в случаях, установленных федеральным законом.

В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом на получение информации, относящейся к персональным данным работника, Работодатель обязан отказать лицу в выдаче информации. Лицу, обратившемуся с запросом, выдается уведомление об отказе в выдаче информации, копия уведомления подшивается                           в                                              личное             дело                            работника. Форма уведомления об отказе в выдаче информации утверждена в приложении № 4 к настоящему Положению.

Персональные данные работника могут быть переданы представителям работников в порядке, установленном Трудовым кодексом, в том объеме, в каком это необходимо для выполнения указанными представителями их функций.

Работодатель не вправе распространять персональные данные работников третьим лицам без согласия работника. Форма согласия работника на обработку персональных данных третьей стороне утверждена в приложении № 2 к настоящему Положению.

Согласие на обработку персональных данных, разрешенных работником для распространения оформляется отдельно от иных согласий субъекта персональных данных на обработку его персональных данных. Форма согласия работника на обработку персональных данных, разрешенных субъектом персональных данных для распространения утверждена в приложении № 3 к настоящему Положению.

Работодатель обязан обеспечить работнику возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на распространение персональных данных.

В случае, если из предоставленного работником согласия на распространение персональных  данных  не  следует,  что  работник  согласился  с  распространением персональных данных, такие персональные данные обрабатываются работодателем без права распространения.

В случае, если из предоставленного работником согласия на передачу персональных данных не следует, что работник не установил запреты и условия на обработку персональных данных или не указал категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, работодатель обрабатывает такие персональные данные без возможности передачи (распространения, предоставления, доступа) неограниченному кругу лиц.

Согласие работника на распространение персональных данных может быть предоставлено работодателю:

  • непосредственно;
  • с использованием информационной системы уполномоченного органа по защите прав субъектов персональных данных.

В согласии на распространение персональных данных работник вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных Работодателю неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ Работодателя в установлении работником данных запретов и условий не допускается.

Передача (распространение, предоставление, доступ) персональных данных, разрешенных работником для распространения, должна быть прекращена в любое время по его требованию. Данное требование должно включать в себя фамилию, имя, отчество (при наличии), контактную информацию (номер телефона, адрес электронной почты или почтовый адрес) работника, а также перечень персональных данных, обработка которых подлежит прекращению. Действие согласия работника на распространение персональных данных, прекращается с момента поступления работодателю требования.

2.7.    Хранение и использование персональных данных работников:

Личные дела и личные карточки хранятся в бумажном виде в папках. Личные дела и личные карточки находятся у специалиста по кадрам Общества в специально отведенном шкафу, обеспечивающем защиту от несанкционированного доступа. Ключи от железных шкафов находятся непосредственно у специалиста по кадрам.

Персональные данные работников могут также храниться в электронном виде в локальной компьютерной сети. Доступ к электронным базам данных, содержащим персональные данные работников, обеспечивается двухступенчатой системой паролей: на уровне локальной компьютерной сети и на уровне баз данных.

Доступ к персональным данным работника имеют:

  • генеральный директор Общества;
  • исполнительный директор Общества;
  • специалист по кадрам;
  • главный бухгалтер и специалисты бухгалтерии - к тем данным, которые необходимы для выполнения конкретных функций;
  • экономист;
  • руководители структурных по направлению деятельности (доступ к личным данным работников только своего подразделения);
  • старшие медицинские сестры;
  • старшие администраторы-кассиры;
  • офис-менеджер;
  • специалист ИСиТ;
  • сам работник, носитель данных.

Доступ специалистов других структурных подразделений к персональным данным осуществляется на основании письменного разрешения генерального директора Общества или исполнительного директора Общества.

Персональные данные работников обрабатываются и хранятся в бухгалтерии ООО «Авицена»  и специалиста по охране труда.

  • Персональные данные работников могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде - локальной компьютерной сети и компьютерной программе.
  • При получении персональных данных не от работника (за исключением случаев, если персональные данные были предоставлены работодателю на основании федерального закона или если персональные данные являются общедоступными) работодатель до начала обработки таких персональных данных обязан предоставить работнику следующую информацию:
    • наименование (фамилия, имя, отчество) и адрес оператора или его представителя;
    • цель обработки персональных данных и ее правовое основание;
    • предполагаемые пользователи персональных данных;
    • установленные настоящим Федеральным законом права субъекта персональных данных.

2.8.  Работник ООО «Авицена» имеет право:

  • Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копий любой записи, содержащей персональные данные работника.
  • Требовать от Работодателя уточнения, исключения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющих необходимыми для Работодателя персональных данных.
  • Получать от Работодателя
  • сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
  • перечень обрабатываемых персональных данных и источник их получения;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
    • Требовать извещения Работодателем всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях.
    • Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия Работодателя при обработке и защите его персональных данных.

Копировать и делать выписки персональных данных работника разрешается исключительно в служебных целях с письменного разрешения специалиста по кадрам.

2.9.   Ответственность за нарушение норм, регулирующих обработку и защиту персональных данных

Работники, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника, несут дисциплинарную административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

Генеральный директор учреждения за нарушение норм, регулирующих получение, обработку и защиту персональных данных работника, несет административную ответственность согласно ст. 5.27 и 5.39 Кодекса об административных правонарушениях Российской Федерации, а также возмещает работнику ущерб, причиненный неправомерным использованием информации, содержащей персональные данные работника.

 

III.  Основные понятия и состав персональных данных клиентов (пациентов)

  • Клиент (пациент) – физическое лицо, выступающее стороной в гражданско-правовом договоре на оказание медицинских услуг.

ООО «Авицена» получает персональные данные непосредственно от субъекта персональных данных – клиента на основании заключения с клиентом письменного договора на оказание медицинских услуг.

Перечень обрабатываемых персональных данных клиентов (пациентов) утвержден приложением № 7 к приказу генерального директора от 30.12.2022 № 55.

  • Информация о состоянии здоровья пациента относится к специальным категориям персональных данных, обработка которых не допускается, за исключением случаев, определенных ст. 10 ФЗ № 152-ФЗ):
  • пациент дал согласие в письменной форме на обработку своих персональных данных;
  • пациент сам сделал персональные данные общедоступными;
  • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов пациента либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия пациента невозможно;
  • обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико- социальных услуг при условии, что обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну.

Информация, являющаяся врачебной тайной, - это отдельный подвид персональных данных. Она представляет собой сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья, диагнозе и иные сведения, полученные при его медицинском обследовании и лечении (п. 1 ст. 13 Закона № 323-ФЗ).

  • Персональные данные клиента обрабатываются клиникой исключительно для достижения целей, определенных письменным договором между клиентом и клиникой, в частности, для оказания медицинских услуг клиенту.
  • Обработка персональных данных клиентов ведется методом смешанной (в том числе автоматизированной) обработки.

К обработке персональных данных клиента могут иметь доступ только сотрудники клиники, допущенные к работе с персональными данными клиента.

  • Отзыв пациентом согласия на обработку персональных данных о здоровье не влечет прекращения обработки персональных данных в силу части 2 статьи 9                                Федерального               закона от 27.07.2006 № 152-ФЗ.
  • Пациент вправе полностью или частично отказаться от предоставления согласия на обработку персональных данных. В обработку нужно запрашивать только те сведения, которые отвечают целям ООО «Авицена».

При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе следующую информацию:

  • подтверждение факта обработки персональных данных;
  • правовые основания и цели обработки;
  • цели и применяемые способы обработки;
  • наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании положений законодательства;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен положениями законодательства;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных прав, предусмотренных Законом № 152-ФЗ;
  • информацию об осуществленной или о предполагаемой трансграничной передаче персональных данных;
  • наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
  • иные сведения, предусмотренные Законом № 152-ФЗ или другими федеральными законами.

Согласие на обработку персональных данных может быть получено в электронной либо в письменной форме.

При этом согласие на обработку биометрических данных необходимо получить от пациента именно в письменной форме (ст. 11 Закона № 152-ФЗ), так как они представляют собой сведения, которые характеризуют физиологические и биологические особенности на основании которых можно установить личность.

Бумажный документ должен содержать следующие реквизиты (п. 4 ст. 9 Закона № 152-ФЗ):

  • фамилию, имя, отчество, адрес пациента, номер основного документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе;
  • Ф.И.О., адрес представителя пациента, номер основного документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя пациента (при получении согласия от него);
  • наименование медицинской организации;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых пациент дает согласие;
  • наименование или Ф.И.О. и адрес лица, осуществляющего обработку персональных данных по поручению медицинской организации, если обработка будет поручена такому лицу;
  • перечень действий с персональными данными, на совершение которых дается согласие, и общее описание используемых способов обработки персональных данных;
  • срок, в течение которого действует согласие пациента, а также способ отзыва такого согласия, если иное не установлено законодательством;
  • подпись пациента.

При заключении договора с пациентом ООО «Авицена» обязано предоставить ему информацию о номере своей лицензии, сроке ее действия и выдавшем ее органе.

При заключении договора на сложные и дорогостоящие услуги пациенту следует предложить под роспись ознакомиться с описанием этих услуг, способами их оказания, возможными последствиями и т. д.

От пациента обязательно требуется получить информированное добровольное согласие на медицинское вмешательство (на анестезиологическое обеспечение медицинского вмешательства, на оперативное вмешательство, в том числе переливание крови и ее компонентов, и т. д.). Его следует оформить в письменном виде – записью в истории болезни, заверенной подписью самого пациента (его законного представителя) либо его отдельной распиской или заявлением, либо в виде электронного документа, подписанного усиленной квалифицированной или простой электронной подписью пациента (его законного представителя) и электронной подписью медицинского работника.

Если состояние пациента не позволяет ему выразить свою волю, а медицинское вмешательство неотложно, вопрос о его проведении решают консилиум или лечащий врач.

Медицинское вмешательство без информированного добровольного согласия также возможно в отношении пациентов:

  • страдающих заболеваниями, представляющими опасность для окружающих;
  • страдающих тяжелыми психическими расстройствами;
  • совершивших общественно опасные деяния (преступления);
  • направленных на судебно-медицинскую и (или) судебно-психиатрическую экспертизы.

1.7.          Предоставление персональных пациента данных третьим лицам

В соответствии со статьей 7 Закона № 152-ФЗ, запрещено предоставлять третьим лицам и распространять персональные данные без согласия пациента

Под предоставлением в данном случае понимаются действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц, а под распространением -действия, направленные на раскрытие персональных данных неопределенному                  кругу лиц (ст. 2 ФЗ№ 152-ФЗ).

В соответствии с ФЗ от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан

в Российской Федерации», допускается разглашение сведений, составляющих врачебную тайну,

с письменного согласия пациента или его законного представителя другим гражданам, в том числе должностным лицам, в целях медицинского обследования и лечения пациента, проведения научных исследований, их опубликования в научных изданиях, использования в учебном процессе и в иных целях:

–проведения медицинского обследования и лечения пациента, который в результате своего состояния не способен выразить свою волю; – при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;

  • по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органов прокуратуры в связи с осуществлением прокурорского надзора, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля;
  • осуществления уполномоченными федеральными органами исполнительной власти контроля за исполнением лицами, признанными больными наркоманией либо потребляющими наркотические средства или психотропные вещества без назначения врача либо новые потенциально опасные психоактивные вещества, возложенной на них при назначении административного наказания судом обязанности пройти лечение от наркомании, диагностику, профилактические мероприятия и (или) медицинскую реабилитацию;
  • в случае оказания медицинской помощи несовершеннолетнему для информирования одного из его родителей или иного законного представителя; – в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий;
  • в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов, кадровых служб и военно-врачебных (врачебно-летных) комиссий;
  • при обмене информацией между медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства РФ о персональных данных;
  • в целях осуществления учета и контроля в системе обязательного социального страхования.

1.8.          Предоставление персональных данных пациенту или его законному представителю

ООО «Авицена» обязано сообщить пациенту или его законному представителю информацию о наличии персональных данных и предоставить возможность для ознакомления с ними в течение 30 дней с даты получения соответствующего запроса от пациента или его представителя (ст. 14, ст. 20 Закона № 152- ФЗ).

Согласно Закону № 323-ФЗ пациент или его законный представитель имеют право на основании письменного заявления получать отражающие состояние здоровья медицинские документы, их копии и выписки из медицинских документов (п. 5 ст. 22 Закона №323-ФЗ) в порядке, утвержденном приказом Минздравсоцразвития РФ от 02.05.2012 № 441н, а также непосредственно знакомиться с медицинской документацией, отражающей состояние здоровья в порядке, утвержденном приказом Министерства здравоохранения РФ от 29.06.2016 № 425н.

  • Передача персональных данных клиента ООО «Авицена» производит исключительно для достижения целей, определенных письменными договорами между клиентом и клиникой, в частности, для оплаты медицинских услуг, оказываемых на основании договоров добровольного медицинского страхования.

Надлежаще заверенную копию медицинской карты пациента для экспертизы страховой компании ООО «Авицена» передает в бумажном виде. Передача копии по запросу страховой компании в силу подпункта 8 части 2 статьи 10 Федерального                            закона от 27.07.2006 № 152-ФЗ не требует письменного согласия пациента.

Без согласия клиента персональные данные о состоянии его здоровья могут быть переданы в случаях, прямо предусмотренных статьей 13 Федерального закона от 21.11.2011 № 323-ФЗ, в случае возникновения угрозы распространения инфекционных заболеваний (гепатиты, ВИЧ, сифилис, ОРИ, туберкулез), о чем клиент уведомляется в согласии на обработку его персональных данных.

При передаче персональных данных клиента ООО «Авицена» должна соблюдать следующие требования:

  • не сообщать персональные данные клиента третьей стороне без письменного согласия клиента, за исключением случаев, установленных федеральным законом;
  • не сообщать персональные данные клиента в коммерческих целях без его письменного согласия;
  • предупредить лиц, получающих персональные данные клиента о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
  • разрешать доступ к персональным данным клиентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные клиентов, которые необходимы для выполнения конкретных функций.

1.10.      Персональные    данные    клиентов    содержатся    в                       следующих группах документов:

  • договор на оказание медицинских услуг и все приложения к нему;
  • согласие родителей на подписание договора несовершеннолетним;
  • анкета о здоровье;
  • медицинская карта;
  • информированные согласия на различные виды медицинских манипуляций;
  • протоколы фиксации претензий пациента.

Персональные данные клиентов могут храниться как на бумажных носителях, так и в электронном виде.

Персональные данные клиентов на бумажных носителях, если с них не снят на законном основании режим конфиденциальности, хранятся в специально отведенных железных шкафах. Ключи от железных шкафов хранятся лично у старшей медицинской сестры, допущенной к обработке персональных данных клиентов.

Персональные данные клиентов также хранятся в электронном виде – в локальной компьютерной сети клиники, в базах данных, каталогах и файлах, размещенных на серверах клиники, доступ к которым разрешен сотрудникам, допущенным к обработке персональных данных клиентов.

1.11.      Уничтожение персональных данных клиента

ООО «Авицена» уничтожает персональные данные клиента, за исключением данных, содержащихся в медицинской карте и иной медицинской документации, в следующие сроки: хранящиеся на электронных носителях – в течение трех рабочих дней с момента расторжения договора или отзыва согласия на обработку.

1.12.      Права и обязанности ООО «Авицена» и при обработке персональных данных клиента (пациента).

В целях обеспечения прав и свобод человека и гражданина ООО «Авицена» (далее- медицинский центр) и ее сотрудники при обработке персональных данных клиента обязаны соблюдать следующие общие требования:

  • при определении объема и содержания персональных данных клиента, подлежащих обработке, руководствоваться федеральными законами от 27.07.2006 № 152-ФЗ и от 21.11.2011 № 323-ФЗ, а также договорными обязательствами, взятыми на себя сторонами по договору между клиентом и ООО «Авицена»;
  • не получать и не обрабатывать персональные данные клиента о его судимости, политических, религиозных и иных убеждениях и частной жизни.

Медицинский центр должен обеспечить защиту персональных данных клиента от неправомерного их использования или утраты за собственный счет в порядке, установленном федеральным законодательством.

Все сотрудники, связанные с получением, обработкой и защитой персональных данных клиентов, обязаны подписать обязательство о неразглашении персональных данных. Форма уведомления-обязательства сотрудников при работе с персональными данными утверждена в  приложении № 27 к приказу генерального директора ООО МЦ

«Сибирское здоровье» от 30.12.2022 № 55.

1.12.1.           Процедура оформления доступа к персональным данным клиента включает:

  • ознакомление сотрудника под подпись с настоящим Положением. При наличии иных нормативных актов (приказов, распоряжений, инструкций), регулирующих обработку и защиту персональных данных клиента, с данными актами также производится ознакомление под подпись;
  • уведомление сотрудника о факте обработки персональных данных;
  • требование с сотрудника (за исключением директора) письменного обязательства о соблюдении конфиденциальности персональных данных клиентов и соблюдении правил их обработки.
    • Сотрудник медицинского центра, имеющий доступ к персональным данным клиентов в связи с исполнением трудовых обязанностей:

 

  • обеспечивает хранение информации, содержащей персональные данные клиента, исключающее доступ к ним третьих лиц;
  • не оставляет на рабочем месте документы, содержащие персональные данные клиентов;
  • при уходе в отпуск, во время служебной командировки и в иных случаях длительного отсутствия передает документы и иные носители, содержащие персональные данные клиентов, генеральному директору ООО «Авицена».

Допуск к персональным данным клиента других сотрудников, не имеющих надлежащим образом оформленного доступа, запрещается.

1.14.      Права и обязанности клиента (пациента)

  • Клиент обязан передавать медицинскому центру или ее представителю комплекс достоверных, документированных персональных данных, состав которых установлен настоящим Положением и договорными обязательствами, взятыми на себя сторонами по договору между клиентом и ООО «Авицена».
  • Клиент должен без неоправданной задержки сообщать медицинскому центру

об изменении своих персональных данных.

  • Клиент имеет право на получение сведений о медицинском центре, о ее местонахождении, о наличии у клиники персональных данных, относящихся к клиенту, а также на ознакомление с такими персональными данными.
  • Клиент вправе требовать от медицинского центра уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
  • Доступ клиента к своим персональным данным предоставляется на основании письменного запроса пациента на имя главного врача клиники. Запрос должен содержать номер основного документа, удостоверяющего личность клиента или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись клиента или его законного представителя.
  • Сведения о наличии персональных данных должны быть предоставлены клиенту в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
  • Клиент имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
  • подтверждение факта обработки персональных данных медицинским центром, а также цель такой обработки;
  • способы обработки персональных данных, применяемые медицинским центром;
  • сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
  • перечень обрабатываемых персональных данных и источник их получения;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • сведения о том, какие юридические последствия для клиента может повлечь обработка его персональных данных.

Клиент имеет право отозвать согласие на обработку персональных данных, ограничить способы и формы обработки персональных данных, запретить распространение персональных данных без его согласия. Отзыв пациентом согласия на обработку  персональных  данных  о  здоровье  не  влечет  прекращения  обработки персональных данных в силу части 2 статьи 9 Федерального закона от 27.07.2006 № 152- ФЗ.

  • Клиент вправе обжаловать действия или бездействие медицинского центра в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
  • Клиент имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.

  

1.15.      Система мер защиты персональных данных

Общую организацию защиты персональных данных клиентов осуществляет генеральный директор медицинского центра.

Защиту персональных данных, хранящихся в электронных базах данных клиники, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий обеспечивает специалист по защите информации и специалист информационных систем и технологий.

1.16.      Ответственность за разглашение персональных данных

Медицинский центр несет ответственность за разработку, введение и действенность соответствующих требованиям законодательства норм, регламентирующих получение, обработку и защиту персональных данных клиента и сотрудников. Клиника закрепляет персональную ответственность сотрудников за соблюдение установленного в организации режима конфиденциальности.

Руководитель, разрешающий доступ сотрудника к документам, содержащим персональные данные клиента, несет персональную ответственность за данное разрешение.

Каждый сотрудник медицинского центра, получающий для работы документ, содержащий персональные данные клиента, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных клиента, несут дисциплинарную, административную, гражданско- правовую или уголовную ответственность в соответствии с федеральными законами:

  • статьи 150, 151 Гражданского кодекса – гражданско-правовая ответственность;
  • статья 14 КоАП – административная ответственность;
  • статья 137 Уголовного кодекса – уголовная ответственность.

За неисполнение или ненадлежащее исполнение сотрудником по его вине возложенных на него обязанностей по соблюдению установленного порядка обработки персональных данных клиентов, медицинский центр вправе применять предусмотренные Трудовым кодексом дисциплинарные взыскания, в том числе увольнение на основании подпункта «в» пункта 6 статьи 81 Трудового кодекса за разглашение персональных данных другого работника.