- Общие положения.
- Положение об обработке персональных данных в ООО «Центр Здоровья и Красоты» (далее – «Положение») разработаны на основании требований:
- Трудового кодекса Российской Федерации;
- Федерального закона от 07.2006 N 152-ФЗ «О персональных данных»;
- Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
- Постановления Правительства Российской Федерации от 09.2008 N 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Постановления Правительства Российской Федерации от 11.2007 N 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Устава ООО «Центр Здоровья и Красоты»;
- Настоящее Положение определяет порядок и условия обработки персональных данных в ООО «Центр Здоровья и Красоты» с использованием средств автоматизации и без использования таких средств.
2. Понятие и состав персональных данных. Цель обработки персональных данных.
- Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных), в том числе фамилия, имя, отчество, год рождения, место рождения, адрес, семейное положение, социальное положение, образование, профессия, доходы, состояние здоровья, ИНН, паспортные данные, данные пенсионного страхового свидетельства, данные свидетельств о рождении детей, о заключении/расторжении брака, о воинском учете, сведения о совершении преступлений, состав семьи, телефоны, сведения о трудовой деятельности сотрудников.
ООО «Центр Здоровья и Красоты» осуществляет обработку персональных данных следующих категорий субъектов:
- -работников, состоящих в трудовых отношениях, членов семьи работников;
- -пациентов;
ООО «Центр Здоровья и Красоты» самостоятельно устанавливает способы обработки персональных данных в зависимости от целей такой обработки и материально-технических возможностей.
Цель обработки персональных данных:
- -регистрация сведений субъектов персональных данных, необходимых для оказания пациентам медицинских услуг;
- -регистрация персональных данных сотрудников, сведений об их профессиональной деятельности в связи с трудовыми отношениями.
3. Особенности обработки персональных данных сотрудников.
- Обработка персональных данных сотрудников ООО «Центр Здоровья и Красоты» осуществляется с их письменного согласия.
- Обработка персональных данных сотрудников осуществляется как с использованием средств автоматизации, так и без использования таких средств.
- При обработке персональных данных уполномоченные сотрудники ООО
«Центр Здоровья и Красоты» обязаны соблюдать следующие требования:
а) объем и характер обрабатываемых персональных данных, способы обработки персональных данных должны соответствовать целям обработки персональных данных;
б) защита персональных данных сотрудников от неправомерного их использования или уничтожения обеспечивается в порядке, установленном нормативными правовыми актами Российской Федерации;
в) передача персональных данных сотрудников не допускается без письменного согласия, за исключением случаев, установленных федеральными законами. В случае, если лицо, обратившееся с запросом, не обладает соответствующими полномочиями на получение персональных данных сотрудника, либо отсутствует письменное согласие сотрудникам на передачу его персональных данных, ООО
«Центр Здоровья и Красоты» вправе отказать в предоставлении персональных данных. В этом случае лицу, обратившемуся с запросом, направляется письменный мотивированный отказ в предоставлении запрашиваемой информации;
г) обеспечение конфиденциальности персональных данных сотрудников, за исключением случаев обезличивания персональных данных и в отношении общедоступных персональных данных;
д) хранение персональных данных должно осуществляться в форме, позволяющей определить сотрудника и иное лицо, являющееся субъектом персональных данных, не дольше, чем этого требуют цели их обработки. Указанные сведения подлежат уничтожению по достижении цели обработки или в случае утраты необходимости в их достижении, если иное не установлено законодательством Российской Федерации. Факт уничтожения персональных данных оформляется соответствующим актом.
- В целях обеспечения защиты персональных данных сотрудники вправе:
а) получать полную информацию о своих персональных данных и способе обработки этих данных;
б) осуществлять свободный бесплатный доступ к своим персональным данным, включая право получать копии любой записи, за исключением случаев, предусмотренных Федеральным законом «О персональных данных»;
в) требовать внесения необходимых изменений, уничтожения или блокирования соответствующих персональных данных, которые являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
г) обжаловать в порядке, установленном законодательством Российской Федерации, действия (бездействие) уполномоченных должностных лиц.
4. Особенности обработки персональных данных пациентов.
- Обработка персональных данных пациентов ООО «Центр Здоровья и Красоты» осуществляется с их письменного согласия.
- Сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну.
- Не допускается разглашение сведений, составляющих врачебную тайну, в том числе после смерти человека, лицами, которым они стали известны при исполнении трудовых, должностных, служебных и иных обязанностей, за исключением случаев, установленных п. 4.4., 4.5 настоящего положения.
- С письменного согласия гражданина или его законного представителя допускается разглашение сведений, составляющих врачебную тайну, другим гражданам, в том числе должностным лицам, в целях медицинского обследования и лечения пациента, проведения научных исследований, их опубликования в научных изданиях, использования в учебном процессе и в иных целях.
- Предоставление сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя допускается:
- в целях проведения медицинского обследования и лечения гражданина, который в результате своего состояния не способен выразить свою волю, с учетом положений п.1 ч.9 ст. 20 Федерального закона от 11.2011 № 323-ФЗ;
- при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
- по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органов прокуратуры в связи с осуществлением ими прокурорского надзора, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля за поведением условно осужденного, осужденного, в отношении которого отбывание наказания отсрочено, и лица, освобожденного условно-досрочно;
- в случае оказания медицинской помощи несовершеннолетнему в соответствии с п.2 ч.2 ст. 20 Федерального закона от 11.2011 № 323-ФЗ, а также несовершеннолетнему, не достигшему возраста, установленного ч.2 ст. 54 Федерального закона от 21.11.2011 № 323-ФЗ, для информирования одного из его родителей или иного законного представителя;
- в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий;
- в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов, кадровых служб и военно-врачебных (врачебно-летных) комиссий федеральных органов исполнительной власти, в которых федеральным законом предусмотрена военная и приравненная к ней служба;
- в целях расследования несчастного случая на производстве и профессионального заболевания, а также несчастного случая с обучающимся во время пребывания в организации, осуществляющей образовательную деятельность;
- при обмене информацией медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства Российской Федерации о персональных данных;
- в целях осуществления учета и контроля в системе обязательного социального страхования;
- в целях осуществления контроля качества и безопасности медицинской деятельности в соответствии с настоящим Федеральным законом.
5. Условия и порядок обработки персональных с использованием средств автоматизации и без использования средств автоматизации
- При обработке персональных данных с использованием средств автоматизации необходимо соблюдать требования:
- к работе допускаются только лица, в соответствии с локальным нормативным актом ОО «Центр Здоровья и Красоты»;
- на ПЭВМ, дисках, папках и файлах, на которых обрабатываются и хранятся сведения о персональных данных, должны быть установлены пароли;
- на период обработки защищаемой информации в помещении могут находиться лица, допущенные в установленном порядке к обрабатываемой информации.
Пароли, устанавливаемые на ПЭВМ, дисках, папках и файлах, подлежат смене не реже 1 раза в 6 (шесть) месяцев.
Персональные данные могут быть представлены для ознакомления сотрудникам, допущенным к обработке персональных данных с использованием средств автоматизации в части, касающейся исполнения их должностных обязанностей.
Безопасность персональных данных, обрабатываемых с использованием средств автоматизации, достигается путем исключения несанкционированного, в том числе случайного, доступа к персональным данным.
Доступ пользователей к персональным данным, находящимся на ПЭВМ, должен требовать обязательного прохождения процедуры идентификации и аутентификации.
- При неавтоматизированной обработке различных категорий персональных данных должен использоваться отдельный материальный носитель для каждой категории персональных данных.
- При неавтоматизированной обработке персональных данных на бумажных носителях:
- не допускается фиксация на одном бумажном носителе персональных данных, цели обработки которых заведомо несовместимы;
- персональные данные должны обособляться от иной информации, в частности путем фиксации их на отдельных бумажных носителях, в специальных разделах или на полях форм (бланков);
- документы, содержащие персональные данные, формируются в дела в зависимости от цели обработки персональных данных.
- Документы и внешние электронные носители информации, содержащие персональные данные, должны храниться в служебных помещениях в надежно запираемых и опечатываемых шкафах (сейфах). При этом должны быть созданы надлежащие условия, обеспечивающие их сохранность.
- Уничтожение или обезличивание части персональных данных, если это допускается материальным носителем, может производиться способом, исключающим дальнейшую обработку этих персональных данных, с сохранением возможности обработки иных данных, зафиксированных на материальном носителе (удаление, вымарывание).
- Уточнение персональных данных при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, — путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.
5.7 Обработка персональных данных, осуществляемая без использования средств автоматизации, должна осуществляться таким образом, чтобы в отношении каждой категории персональных данных можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.
- В случае обработки персональных данных в информационно- телекоммуникационных сетях ООО «Центр Здоровья и Красоты» обязуется выполнять требования нормативных правовых актов в части условий обработки персональных данных, принятие организационных и технических мер по их защите.
- К субъектам, персональные данные которых обрабатываются, относятся:
- директор ООО «Центр Здоровья и Красоты»;
- иные сотрудники ООО «Центр Здоровья и Красоты»;
- пациенты ООО «Центр Здоровья и Красоты»;
- граждане, обратившиеся с обращениями в ООО «Центр Здоровья и Красоты».
- Сроки обработки и хранения персональных данных определяются требованиями законодательства Российской Федерации.
- Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
- Под уничтожением обработанных персональных данных понимаются действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных или в результате которых уничтожаются материальные носители персональных данных.
- Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено действующим законодательством.
- Уничтожение обработанных персональных данных производится комиссионно, с составлением соответствующего акта.
- Персональные данные в зависимости от способа их фиксации (бумажный носитель, электронный носитель) подлежат обработке таким образом, чтобы исключить возможность ознакомления с содержанием указанной информации сторонними лицами.
- Приказом ООО «Центр Здоровья и Красоты» для проведения мероприятий по защите персональных данных и надлежащего контроля за функционированием системы защиты персональных данных назначается администратор безопасности.
- Администратор безопасности выполняет следующие обязанности:
- -контроль соблюдения сотрудниками, обрабатывающими персональные данные правил обеспечения безопасности персональных данных;
- -подготовка и внесение изменений в документы по защите персональных данных;
- -проведение регулярных антивирусных проверок;
- -проведение внутренних проверок согласно плану проверок.
- В служебных помещениях, занимаемых ООО «Центр Здоровья и Красоты», применяются административные, технические, физические и процедурные меры, направленные для защиты данных от нецелевого использования, несанкционированного доступа, раскрытия, потери, изменения и уничтожения обрабатываемых персональных данных.
К указанным мерам относятся:
- физические меры защиты: двери, снабженные замками, сейфы и безопасное уничтожение носителей, содержащих персональные данные;
- технические меры защиты: применение антивирусных программ, программ защиты, установление паролей на персональных компьютерах;
- организационные меры защиты: обучение и ознакомление с принципами безопасности и конфиденциальности, доведение до операторов обработки персональных данных важности защиты персональных данных и способов обеспечения защиты.
6. Перечень сотрудников, уполномоченных на обработку персональных данных и (или) имеющих доступ к персональным данным.
- Директор.
- Главный бухгалтер.
- Врач-невролог.
- Врач ЛФК.
- Врач-педиатр.
- Врач функциональной диагностики.
- Врач травматолог-ортопед.
- Инструктор-стажер.
- Инструктор зала реабилитации.
- Старший инструктор-методист ЛФК.
- Старший инструктор зала реабилитации.
- Бухгалтер-кассир.
- Старший администратор.
- Администратор.
- Администратор 1, 2 категории.
- Врач-физиотерапевт.
- Массажист.
- Инструктор-методист ЛФК.
- Медицинский регистратор.