Политика конфиденциальности

  1. Общие положения
  • Настоящая Политика в отношении персональных данных (далее – Политика) определяет порядок сбора, систематизации, накопления, уточнения, использования, хранения, распространения и защиты персональных данных работников и клиентов (потребителей услуг, пациентов) ООО «Тим — Лайн».
  • Настоящая Политика разработана в строгом соответствии с требованиями:
  • Конституции;
  • главы 14 Трудового кодекса;
  • Перечня сведений конфиденциального характера, утв. Указом Президента от 06.03.1997 № 188;
  • Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»;
  • Федерального закона от 21.07.2014 № 242 «О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях»;
  • Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
  • Постановления Правительства от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Постановления Правительства от 15.09.2008 № 687 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  • Приказа ФСТЭК от 18.02.2013 № 21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».
  • Настоящая Политика разработана с учетом понимания законодательства о персональных данных, изложенного в Научно-практическом комментарии к Федеральному закону «О персональных данных» под ред. зам. руководителя Федеральной службы Роскомнадзора Приезжевой А.А.
  • В настоящем Политике используются следующие термины и понятия:

Клиент (пациент) – физическое лицо, выступающее стороной в гражданско-правовом договоре на оказание медицинских услуг.

Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Защита персональных данных – деятельность уполномоченных лиц по обеспечению с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер конфиденциальности информации о конкретном работнике, клиенте.

Конфиденциальная информация – это информация (в документированном или электронном виде), доступ к которой ограничивается в соответствии с законодательством Российской Федерации.

Клиника – Общество с ограниченной ответственностью «Тим — Лайн»( 309514, Белгородская обл., г. Старый Оскол, ул. Ленина, д. 32, тел. 89102265404, ОГРН 1023102362766, ИНН 3128036292).

  1. Персональные данные клиентов (потребителей услуг, пациентов)
  • Состав сведений (персональных данных) о клиентах и цели их обработки:

Персональные данные пациентов (лиц, являющихся стороной договора на оказание медицинских услуг), обрабатываемые в клинике:

  • паспортные данные;
  • номера телефонов для связи с клиентом (контактная информация);
  • информация о состоянии здоровья пациента, поставленных диагнозах, проведенном или планируемом к проведению медицинском вмешательстве, случаях обращения за медицинской помощью.
  • Персональные данные клиентов, полученные при заключении договора оказания услуг (медицинских услуг), обрабатываются только в целях предоставления услуг, качественной медицинской помощи, проведения оценки качества оказываемых услуг.
  • Клиника обеспечивает конфиденциальность персональных данных клиентов и обязана не допускать их распространения без согласия клиентов либо наличия иного законного основания.
  • Все меры конфиденциальности при сборе, обработке и хранении персональных данных клиентов распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
  1. Порядок обработки персональных данных клиентов
    • Предприятие получает персональные данные непосредственно от субъекта персональных данных – клиента на основании заключения с клиентом письменного договора на оказание услуг.
    • В силу подпункта 5 части 1 статьи 6, подпункта 4 части 2 статьи 10 Федерального закона от 27.07.2006 № 152- ФЗ письменного согласия на обработку персональных данных о здоровье пациента не требуется.

По смыслу части 1 статьи 11 Федерального закона от 27.07.2006 № 152-ФЗ снимки УЗИ, фотографии пациентов не являются биометрическими данными, поскольку не используются оператором для установления личности субъекта персональных данных.

Согласие на обработку персональных данных пациентов берется клиникой с целью демонстрации пациентам серьезности намерений соблюдения конфиденциальности, а также с целью предупреждения о тех случаях, когда информация о здоровье пациента может быть передана третьим лицам без его согласия.

  • Персональные данные клиента обрабатываются клиникой исключительно для достижения целей, определенных письменным договором между клиентом и клиникой, в частности, для оказания медицинских услуг клиенту.
  • Обработка персональных данных клиентов ведется методом смешанной (в том числе автоматизированной) обработки.
  • К обработке персональных данных клиента могут иметь доступ только сотрудники клиники, допущенные к работе с персональными данными клиента.
  • Отзыв пациентом согласия на обработку персональных данных о здоровье не влечет прекращения обработки персональных данных в силу части 2 статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ.
  • Клиника уничтожает персональные данные клиента, за исключением данных, содержащихся в медицинской карте и иной медицинской документации, в следующие сроки: в течение 7 (семи) рабочих дней с момента расторжения договора или отзыва согласия на обработку при условии завершения расчетов между Клиникой и клиентом.
  • В случае, если Клиника является участником системы добровольного медицинского страхования, Клиника производит передачу персональных данных клиента исключительно для достижения целей, определенных письменными договорами между клиентом и клиникой, в частности, для оплаты медицинских услуг, оказываемых на основании договоров добровольного медицинского страхования. Надлежаще заверенную копию медицинской карты пациента для экспертизы страховой компании клиника передает в бумажном виде. Передача копии по запросу страховой компании в силу подпункта 8 части 2 статьи 10 Федерального закона от 27.07.2006 № 152-ФЗ не требует письменного согласия пациента.
  • Без согласия клиента персональные данные о состоянии его здоровья могут быть переданы в случаях, прямо предусмотренных статьей 13 Федерального закона от 21.11.2011 № 323-ФЗ, в случае возникновения угрозы распространения инфекционных заболеваний (гепатиты, ВИЧ, сифилис, ОРИ, туберкулез), о чем клиент уведомляется в согласии на обработку его персональных данных.
  • Персональные данные клиентов содержатся в следующих группах документов:

— договор оказания медицинских услуг и все приложения к нему;

— согласие родителей на подписание договора несовершеннолетним;

— анкета о здоровье;

— медицинская карта;

— информированные согласия на различные виды медицинских манипуляций;

— протоколы фиксации претензий пациента.

  • Персональные данные клиентов могут храниться как на бумажных носителях, так и в электронном виде.
  • Персональные данные клиентов на бумажных носителях, если с них не снят на законном основании режим конфиденциальности, хранятся в специально отведенных железных шкафах. Ключи от железных шкафов хранятся соответствующего специалиста, допущенного к обработке персональных данных клиентов.
  • Персональные данные клиентов также хранятся в электронном виде – в локальной компьютерной сети клиники, в базах данных, каталогах и файлах, размещенных на серверах клиники, доступ к которым разрешен сотрудникам, допущенным к обработке персональных данных клиентов.
  • При передаче персональных данных клиента клиника должна соблюдать следующие требования:
  • не сообщать персональные данные клиента третьей стороне без письменного согласия клиента, за исключением случаев, установленных федеральным законом;
  • не сообщать персональные данные клиента в коммерческих целях без его письменного согласия;
  • предупредить лиц, получающих персональные данные клиента о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
  • разрешать доступ к персональным данным клиентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные клиентов, которые необходимы для выполнения конкретных функций.

 

  1. Права и обязанности клиники при обработке персональных данных Клиента:
  • В целях обеспечения прав и свобод человека и гражданина клиника и ее сотрудники при обработке персональных данных клиента обязаны соблюдать следующие общие требования:
  • при определении объема и содержания персональных данных клиента, подлежащих обработке, руководствоваться федеральными законами от 27.07.2006 № 152-ФЗ и от 21.11.2011 № 323-ФЗ, а также договорными обязательствами, взятыми на себя сторонами по договору между клиентом и клиникой;
  • не получать и не обрабатывать персональные данные клиента о его судимости, политических, религиозных и иных убеждениях и частной жизни.
  • Клиника должна обеспечить защиту персональных данных клиента от неправомерного их использования или утраты за собственный счет в порядке, установленном федеральным законодательством.
  • Клиника обязана сообщить клиенту информацию о наличии персональных данных о нем, а также предоставить возможность ознакомиться с ними.
  • Все сотрудники, связанные с получением, обработкой и защитой персональных данных клиентов, обязаны подписать уведомление-обязательство о неразглашении персональных данных клиентов.

Процедура оформления доступа к персональным данным клиента включает:

  • ознакомление сотрудника под подпись с настоящей Политикой. При наличии иных нормативных актов (приказов, распоряжений, инструкций), регулирующих обработку и защиту персональных данных клиента, с данными актами также производится ознакомление под подпись;
  • уведомление сотрудника о факте обработки персональных данных;
  • истребование с сотрудника (за исключением директора) письменного обязательства о соблюдении конфиденциальности персональных данных клиентов и соблюдении правил их обработки. Обязательство готовят по установленной форме.

Сотрудник клиники, имеющий доступ к персональным данным клиентов в связи с исполнением трудовых обязанностей:

  • обеспечивает хранение информации, содержащей персональные данные клиента, исключающее доступ к ним третьих лиц;
  • не оставляет на рабочем месте документы, содержащие персональные данные клиентов;
  • при уходе в отпуск, во время служебной командировки и в иных случаях длительного отсутствия передает документы и иные носители, содержащие персональные данные клиентов, директору клиники.
  1. Допуск к персональным данным клиента других сотрудников клиники (санитарок, охранников, бухгалтеров), не имеющих надлежащим образом оформленного доступа, запрещается.
  2. Права и обязанности клиента
    • Клиент обязан передавать клинике или ее представителю комплекс достоверных, документированных персональных данных, состав которых установлен настоящей Политикой и договорными обязательствами, взятыми на себя сторонами по договору между клиентом и клиникой.
  • Клиент должен без неоправданной задержки сообщать клинике об изменении своих персональных данных.
  • Клиент имеет право на получение сведений о клинике, о ее местонахождении, о наличии у клиники персональных данных, относящихся к клиенту, а также на ознакомление с такими персональными данными.
  • Клиент вправе требовать от клиники уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
  • Доступ клиента к своим персональным данным предоставляется на основании письменного запроса пациента на имя главного врача клиники. Запрос должен содержать номер основного документа, удостоверяющего личность клиента или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись клиента или его законного представителя.
  • Сведения о наличии персональных данных должны быть предоставлены клиенту в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
  • Клиент имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
  • подтверждение факта обработки персональных данных клиникой, а также цель такой обработки;
  • способы обработки персональных данных, применяемые клиникой;
  • сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
  • перечень обрабатываемых персональных данных и источник их получения;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • сведения о том, какие юридические последствия для клиента может повлечь обработка его персональных данных.
  • Клиент имеет право отозвать согласие на обработку персональных данных, ограничить способы и формы обработки персональных данных, запретить распространение персональных данных без его согласия. Отзыв пациентом согласия на обработку персональных данных о здоровье не влечет прекращения обработки персональных данных в силу части 2 статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ.
  • Клиент вправе обжаловать действия или бездействие клиники в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
  • Клиент имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.
  1. Система мер защиты персональных данных
    • Общую организацию защиты персональных данных клиентов осуществляет генеральный директор клиники.
    • Защиту персональных данных, хранящихся в электронных базах данных клиники, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий обеспечивает специалист IT, находящийся в штате предприятия либо оказывающий услуги на основании договора подряда.
    • Система организационно-технических мер защиты персональных данных определяется в отдельных локально- нормативных актах Клиники в соответствии с действующими требованиями российского законодательства к защите персональных данных при их обработке в зависимости от типа угроз 2.

6.4 Помимо организационно-технических мер клиника принимает правовые меры для защиты персональных данных, а именно издает локальные правовые акты, направленные на регулирование обработки персональных данных в рамках клиники:

  • Политика в отношении обработки персональных данных в организации;
  • приказ о назначении ответственного за обработку персональных данных;
  • приказ об утверждении перечня обрабатываемых персональных данных;
  • приказ о допуске сотрудников к обработке персональных данных;
  • приказ об обработке персональных данных без использования средств автоматизации;
  • приказ о разработке комплекса организационно-технических мер по защите персональных данных с использованием средств автоматизации;
  • приказ о форме запросов субъектов персональных данных;
  • приказ о компенсационных мерах по защите персональных данных и др.
  1. Ответственность за разглашение персональных данных
    • Клиника несет ответственность за разработку, введение и действенность соответствующих требованиям законодательства норм, регламентирующих получение, обработку и защиту персональных данных клиента и сотрудников. Клиника закрепляет персональную ответственность сотрудников за соблюдение установленного в организации режима конфиденциальности.
    • Руководитель, разрешающий доступ сотрудника к документам, содержащим персональные данные клиента, несет персональную ответственность за данное разрешение.
    • Каждый сотрудник клиники, получающий для работы документ, содержащий персональные данные клиента, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
    • Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных клиента, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами:
  • статьи 150, 151 Гражданского кодекса – гражданско-правовая ответственность;
  • статья 13.14 КоАП – административная ответственность;
  • статья 137 Уголовного кодекса – уголовная ответственность.
  • За неисполнение или ненадлежащее исполнение сотрудником по его вине возложенных на него обязанностей по соблюдению установленного порядка обработки персональных данных клиентов клиника вправе применять предусмотренные Трудовым кодексом дисциплинарные взыскания, в том числе увольнение на основании подпункта «в» пункта 6 статьи 81 Трудового кодекса за разглашение персональных данных другого работника.
  1. Заключительные положения

Настоящее Политика вступает в силу с момента издания приказа директора организации о введении Положения в силу и обязательно для ознакомления, соблюдения и исполнения всеми сотрудниками организации.