Положение об обработке персональных данных ООО «МедЦентр А+»
1. Общие положения
1.1. Положение об обработке персональных данных (далее — Положение) определяет условия и порядок обработки персональных данных, которую осуществляет ООО «МедЦентр А+»(далее—центр).
1.2. Положение разработано во исполнение Политики в отношении обработки персональных данных (далее — Политика) и в соответствии с п. 2 ч. 1 ст. 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» (далее — ФЗ «О персональных данных»), а также следующими нормативными правовыми актами:
— часть вторая Гражданского Кодекса Российской Федерации от 26 января 1996 г. № 14-ФЗ (далее—часть вторая ГКРФ);
— Трудовой Кодекс Российской Федерации от 30 декабря 2001 г. № 197-ФЗ (далее — ТК РФ);
— часть первая Налогового Кодекса Российской Федерации от 31 июля 1998 г. № 146-ФЗ (далее—часть первая НКРФ);
— Федеральный закон «О бухгалтерском учёте» от 6 декабря 2011 г. № 402-ФЗ (далее — ФЗ «О бухгалтерском учёте»);
— постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
— постановление Правительства Российской Федерации от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
— Федерального закона РФ от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
— Приказа Министерства здравоохранения и социального развития Российской Федерации от 16.08.1994 № 170 «О мерах по совершенствованию профилактики и лечения ВИЧ-инфекции в Российской Федерации»;
— Приказа Министерства здравоохранения и социального развития Российской Федерации от 12.04.2011 № 302н «Об утверждении перечней вредных и (или) опасных производственных факторов и работ, при выполнении которых проводятся обязательные предварительные и периодические медицинские осмотры (обследования) и Порядка проведения обязательных предварительных и периодических медицинских осмотров (обследований) работников, занятых на тяжелых работах и на работах с вредными и (или) опасными условиями труда»- законодательства об охране труда;
— Устава Общества с ограниченной ответственностью «МедЦентр А+».
1.3. Для целей настоящего Положения применяются следующие термины и определения: Оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Пациенты (субъекты персональных данных) — физические лица, обратившиеся к Учреждению-оператору с целью получения медицинского обслуживания, либо состоящие в иных гражданско-правовых отношениях с Учреждением-оператором по вопросам получения медицинских услуг.
Работники (субъекты персональных данных) — физические лица, состоящие в трудовых и иных гражданско-правовых отношениях с Учреждением-оператором.
Документы, содержащие персональные данные пациента — документы, необходимые для осуществления действий в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг, а также для оформления договорных отношений.
Документы, содержащие персональные данные работника — документы, которые работник предоставляет Учреждению-оператору (работодателю) в связи с трудовыми отношениями и касающиеся конкретного работника (субъекта персональных данных), а также другие документы, содержащие сведения, предназначенные для использования в служебных целях.
Персональные данные — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных). Врачебная тайна — соблюдение конфиденциальности информации о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иных сведений, полученных при его обследовании и лечении.
Обработка персональных данных пациента или работника — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных пациента или работника.
Распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
Предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
Блокирование персональных данных — временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
Уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
Автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники.
Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
Конфиденциальность персональных данных — операторы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законодательством.
Несанкционированный доступ (несанкционированные действия) — доступ к информации или действия с информацией, нарушающие правила разграничения доступа, в том числе с использованием штатных средств, предоставляемых информационными системами персональных данных.
Общедоступные персональные данные — персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с Федеральным законодательством не распространяется требование соблюдения конфиденциальности.
2. Цели и задачи Положения.
2.1. Целями настоящего Положения являются:
— обеспечение соответствия обработки персональных данных работников центра, пациентов центра и других лиц требованиям законодательства РФ;
— обеспечение защиты персональных данных работников центра, пациентов центра и других лиц от несанкционированного доступа, утраты, неправомерного их использования или распространения.
2.2. Задачами настоящего Положения являются:
— определение целей, принципов и условий обработки персональных данных;
— определение порядка обработки центром персональных данных;
— определение категорий персональных данных, категорий субъектов персональных данных, обрабатываемых центром;
— определение способов обработки персональных данных;
— определение прав и обязанностей центра и субъектов при обработке персональных данных.
3. Цели, принципы и условия обработки персональных данных.
3.1. Целями обработки персональных данных в центре являются:
— предоставление медицинской помощи пациентам;
— регулирование трудовых отношений с работниками, организации учета работников в соответствии с требованиями нормативно правовых актов, содействия соискателям, работникам в трудоустройстве у центра, обучении и продвижении по службе, обеспечении личной безопасности работников, контроля количества и качества выполняемой работы и обеспечение сохранности имущества центра, работника и третьих лиц;
— исполнения центром обязательств и реализации центром полномочий по заключенным с контрагентами договорам, в том числе договорам об оказании платных медицинских услуг с пациентами и организациями;
— проведением центром рекламных и маркетинговых мероприятий в отношении пациентов;
— обеспечение соблюдения Конституции РФ, федеральных законов, нормативно-правовых актов РФ;
— осуществление уставных задач центра.
3.2. Принципы обработки персональных данных в центре:
— законность целей и способов обработки персональных данных;
— соответствие целей обработки персональных данных целям, определенным и заявленным при сборе персональных данных, а также полномочиям центра;
— соответствие объема и характера обрабатываемых персональных данных, способов обработки;
— точность, достаточность и актуальность по отношению к целям обработки персональных данных, недопустимость обработки избыточных персональных данных по отношению к целям, заявленным при сборе персональных данных;
— недопустимость объединения центром баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой.
3.3. Обработка персональных данных осуществляется только должностными лицами центра, непосредственно использующими их в служебных целях. Лица, уполномоченные на обработку персональных данных, имеют право получать только те персональные данные, которые необходимы им для выполнения своих должностных обязанностей. Все остальные работники центра имеют право на полную информацию, касающуюся только собственных персональных данных.
3.4. Обработка персональных данных осуществляется центом в следующих случаях:
— обработка персональных данных осуществляется только с согласия субъекта персональных данных;
— обработка персональных данных проводится для осуществления уставных функций центра;
— обработка персональных данных необходима для исполнения договора, стороной которого является субъект персональных данных;
— обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
— обработка персональных данных необходима для осуществления прав, законных интересов центра или третьих лиц, либо достижения значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
— обработка персональных данных, которые подлежат опубликованию или обязательному раскрытию в соответствии с федеральными законами.
3.5. Центром обрабатывается такая категория персональных данных – как состояние здоровья. Обработка центром данных о состоянии здоровья граждан необходима для осуществления и выполнения уставных функций центра, а также для защиты жизни, здоровья или иных жизненно важных интересов субъектов персональных данных.
4. Понятие и состав персональных данных.
Центр обрабатывает персональные данные следующих категорий субъектов:
— работников центра;
— пациентов центра.
4.1. Персональные данные работника — информация, необходимая работодателю в связи с трудовыми отношениями и касающиеся конкретного работника. Под информацией о работниках понимаются сведения о фактах, событиях и обстоятельствах жизни работника, позволяющие идентифицировать его личность
4.1.1. В состав персональных данных работника входят:
— анкетные и биографические данные;
— образование;
— сведения о трудовом и общем стаже;
— сведения о составе семьи;
— паспортные данные;
— сведения о воинском учете;
— сведения о заработной плате сотрудника;
— сведения о социальных льготах;
— специальность;
— занимаемая должность;
— наличие судимостей;
— адрес места жительства;
— адрес места прописки;
— домашний телефон;
— мобильный телефон;
— адрес электронной почты;
— содержание трудового договора;
— подлинники и копии приказов по личному составу;
— личные дела и трудовые книжки сотрудников;
— основания к приказам по личному составу;
— дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
— копии отчетов, направляемые в органы статистики;
— ИНН;
— СНИЛС;
— информация о состоянии здоровья;
4.1.2. Под персональными данными Пациентов — понимается любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных), в том числе:
— фамилия,
— имя,
— отчество,
— пол,
-год, месяц, дата рождения,
— адрес места жительства,
— адрес места прописки,
— гражданство;
— семейное положение,
— контактные телефоны,
— адрес электронной почты,
— реквизиты полиса ОМС (ДМС),
— индивидуального лицевого счета в Пенсионном фонде России (СНИЛС),
— ИНН,
— паспортные данные,
— данные о состоянии здоровья, заболеваниях, случаях обращения за медицинской помощью.
— количество и возраст детей;
Данные сведения являются конфиденциальными. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении срока хранения, если иное не определено законом.
4.2. Информация о персональных данных может содержаться:
— на бумажных носителях;
— на электронных носителях;
— в информационных системах персональных данных;
— в информационно телекоммуникационных сетях и иных информационных системах.
5. Получение персональных данных.
5.1. Получение персональных данных преимущественно осуществляется путем представления их самим пациентом или работником, на основании его письменного согласия, за исключением случаев, прямо предусмотренных действующим законодательством РФ.
5.2. В случаях, предусмотренных Федеральным законодательством, обработка персональных данных осуществляется только с согласия пациента и работника в письменной форме. Равнозначным содержащему собственноручную подпись пациента и работника согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с Федеральным законом № 152-ФЗ электронной подписью. Согласие пациента и работника в письменной форме на обработку его персональных данных должно включать в себя, в частности:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес Учреждения-оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению Учреждения-оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых Учреждением-оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено Федеральным законодательством;
9) подпись субъекта персональных данных.
Для обработки персональных данных, содержащихся в согласии в письменной форме пациента и работника на обработку его персональных данных, дополнительное согласие не требуется. В случае недееспособности пациента или недостижения пациентом возраста 15 лет согласие на обработку его персональных данных дает в письменной форме его законный представитель.
5.3. В случае необходимости проверки персональных данных пациента или работника заблаговременно должно сообщить об этом пациенту или работнику, о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа пациента или работника дать письменное согласие на их получение.
6. Организация обработки персональных данных
6.1. Все персональные данные субъекта следует получать у него самого. Информация о персональных данных субъекта предоставляется субъектом устно, либо путем заполнения личных карточек формы Т-2 для работников (медицинских карт для пациентов), которые хранятся в личном деле в отделе кадров (регистратуре/архиве). Если персональные данные субъекта возможно получить только у третьей стороны, то субъект должен быть уведомлен об этом и от него должно быть получено письменное согласие (либо письменный отказ). В письменном уведомлении центр должен сообщить субъекту о целях, предполагаемых источниках и способах получения персональных данных, характере подлежащих получению персональных данных (например, оформление запроса в медицинское учреждение о прохождении обследования и лечения и т.п.) и последствиях отказа субъекта дать письменное согласие на их получение.
6.2. Центр не имеет права получать и обрабатывать персональные данные субъекта о его расовой, национальной принадлежности, политических взглядах, религиозных или философских убеждениях.
6.3. Этапы получения и обработки персональных данных пациента.
6.3.1. При первичном посещении клиники пациента информация заносится в базу данных в регистратуре. На этом этапе регистратор отмечает паспортные данные, контактный телефон, Ф.И.О, дату рождения, специалиста к которому желает попасть пациент либо информацию о медицинской услуге, которую желает получить пациент, данные о состоянии здоровья, заболеваниях, случаях обращения за медицинской помощью. Заполняется амбулаторная карта в которой фиксируются выше перечисленные персональные данные пациента. Информация о пациенте хранится как на электронном, так и на бумажном носителе информации о персональных данных. Ответственным на данном этапе хранения персональных данных является администратор/медицинский регистратор фиксирующий персональные данные.
6.3.2. После этого информация передается врачу или медицинской сестре на электронном или бумажном носителе. Врач или медицинская сестра собирает информацию о состоянии здоровья пациента, фиксирует на бумажный или электронный носитель, передает в регистратуру. Ответственным за неразглашения информации о состоянии здоровья является врач. При передаче персональных данных пациента врач должен соблюдать следующие требования:
— не сообщать персональные данные третьей стороне без письменного согласия пациента, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью пациента, а также в случаях, установленных федеральным законом;
— не сообщать персональные данные пациента в коммерческих целях без его письменного согласия;
— предупредить лиц, получающих персональные данные пациента, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные пациента, обязаны соблюдать режим секретности (конфиденциальности). Данное положение не распространяется на обмен персональными данными пациента в порядке, установленном федеральными законами;
— разрешать доступ к персональным данным пациента только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные пациента, которые необходимы для выполнения конкретных функций;
6.3.3. После получения медицинских услуг носитель содержащий персональные данные о состоянии здоровья, диагнозе, проведенном лечении и рекомендациях хранится в архиве. Выдача персональных данных содержащих информацию о состоянии здоровья выдается ответственным лицом.
6.3.4. Все меры конфиденциальности при сборе, обработке и хранении персональных данных пациента распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
6.3.5. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.
6.3.6. С работниками, ответственными за хранение персональных данных, а также с работниками, владеющими персональными данными в силу своих должностных обязанностей, заключаются Соглашения о неразглашении персональных данных (Приложение № 2). Экземпляр Соглашения хранится в отделе кадров.
6.3.7. Автоматизированная обработка и хранение персональных данных пациентов допускаются только после выполнения всех основных мероприятий по защите информации.
6.3.8. Помещения, в которых хранятся персональные данные пациента, должны быть оборудованы надежными замками и сигнализацией на вскрытие помещений.
6.4. Запрещается требовать от лица, поступающего на работу в центр, документы помимо предусмотренных Трудовым кодексом РФ, иными федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации.
6.5. Персональные данные субъектов хранятся в электронных базах данных и на бумажных носителях в помещении отдела кадров (регистратуре). Для этого используются специально оборудованные шкафы и сейфы. Личные дела уволенных (прошедших обследование, лечение) субъектов хранятся в архиве.
6.6. В целях информационного обеспечения могут создаваться общедоступные источники персональных данных (в том числе справочники, электронные базы). В общедоступные источники персональных данных могут включаться фамилия, имя, отчество, должность, подразделение, служебные телефоны и адрес электронной почты.
6.7. Сведения о начислении и выплате заработной платы работникам Учреждения хранятся в электронных базах данных и на бумажных носителях в помещении бухгалтерии. По истечении сроков хранения, установленных законодательством РФ, данные сведения передаются в архив.
6.8. Конкретные обязанности по ведению, хранению личных дел субъектов, заполнению, хранению и выдаче трудовых книжек, иных документов, отражающих персональные данные субъектов, возлагается на работников отдела кадров и регистратуры.
6.9. Персональные данные пациентов хранятся в электронных базах данных, которые могут быть подключены к локальной сети организации, а также на бумажных носителях.
6.10. Доступ к электронным базам данных ограничен паролем. Возможна передача персональных данных пациентов между структурными подразделениями с использованием учтенных съемных носителей с использованием технических и программных средств защиты информации, с доступом только для работников центра, допущенных к работе с персональными данными пациентов Приказом Главного врача и только в объеме, необходимом данным работникам для выполнения ими своих должностных обязанностей.
6.11. Бумажными носителями персональных данных являются:
— медицинская карта амбулаторного больного, которая заводится на каждого обратившегося в центр за оказанием медицинском помощи при первом обращении и хранится в регистратуре центра. Медицинская карта передается врачам-специалистам центра при личном обращении пациента в центр, по окончании приема медицинская карта сдается медсестрой врача-специалиста в регистратуру центра;
— журналы и другие формы медицинской документации, содержащие персональные данные пациентов, оформляются и хранятся в регистратуре, кабинетах врачей центра в соответствии с требованиями действующих приказов.
— прочие документы, используемые при оказании медицинской помощи и содержащие персональные данные пациентов (акты, направления, договоры, квитанции и пр.), после оформления передаются работнику, допущенному к работе с персональными данными, в должностные обязанности которого входит обработка этих данных. Хранение оконченных производством документов, содержащих персональные данные пациентов, осуществляется в архиве.
6.12. Персональные данные субъектов хранятся не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении. Документы, содержащие персональные данные, подлежат хранению и уничтожению в порядке, предусмотренном архивным законодательством Российской Федерации.
6.13. При получении сведений, составляющих персональные данные субъектов, заинтересованные лица имеют право получать только те персональные данные, которые необходимы для выполнения конкретных функций и заданий
6.14. Хранение персональных данных в центре:
Хранение текущей документации и оконченной производством документации, содержащей персональные данные пациентов и работников центра, осуществляется во внутренних подразделениях центра, а также в помещениях, предназначенных для хранения отработанной документации. Ответственные лица за хранение документов, содержащих персональные данные пациентов и работников, назначены Приказом главного врача центра.
Хранение персональных данных пациентов и работников осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
Хранение документов, содержащих персональные данные пациентов и работников, осуществляется в течение установленных действующими нормативными актами сроков хранения данных документов. По истечении установленных сроков хранения документы подлежат уничтожению.
7. Обеспечение безопасности персональных данных
7.1. Работники, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять их без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
7.2. В целях защиты персональных данных от неправомерных действий (в частности, неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения) центром применяется комплекс правовых, организационных и технических мер по обеспечению безопасности персональных данных, составляющий систему защиты персональных данных.
7.3. Применение комплекса мер по обеспечению безопасности персональных данных обеспечивает установленный уровень защищенности персональных данных при их обработке в информационной системе центра.
7.4. В целях обеспечения выполнения обязанностей, предусмотренных ФЗ «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, Оператором назначается ответственный за обеспечение безопасности персональных данных в информационной системе.
7.5. Ответственный за обеспечение безопасности персональных данных в информационной системе обязан:
— ежегодно выполнять определение угроз безопасности персональных данных при их обработке в информационной системе центра;
— обеспечивать реализацию организационных и технических мер по обеспечению безопасности персональных данных и применение средств защиты информации, необходимых для достижения установленного уровня защищенности персональных данных при обработке в информационной системе центра;
— устанавливать правила доступа к персональным данным, обрабатываемым в информационной системе центра, а также обеспечивать регистрацию и учёт всех действий с ними;
— организовывать обнаружение фактов несанкционированного доступа к персональным данным и принятие мер по реагированию, включая восстановление персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним; — ежегодно осуществлять внутренний контроль за обеспечением установленного уровня защищённости персональных данных при обработке в информационной системе центра.
8. Осуществление прав субъектов персональных данных
8.1. Субъекты персональных данных имеют право на:
• получение сведений об операторе, о месте его нахождения, о наличии у оператора персональных данных, относящихся к соответствующему субъекту персональных данных, способах их обработки, а также на ознакомление с такими персональными данными, за исключением случаев, когда предоставление персональных данных нарушает конституционные права и свободы других лиц;
• требование уточнения своих персональных данных, их блокирования или уничтожения, в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки; • свободный, бесплатный доступ к своим персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных федеральным законом;
• требование об извещении всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта обо всех произведенных в них исключениях, исправлениях или дополнениях;
• определение своих представителей для защиты своих персональных данных;
• обжалование в суд любых неправомерных действий или бездействий при обработке и защите персональных данных;
• доступ к относящимся к ним медицинским данным с помощью медицинского специалиста по их выбору.
8.2. Сведения о наличии персональных данных должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
8.3. Доступ к своим персональным данным предоставляется субъекту персональных данных или его законному представителю оператором при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись субъекта персональных данных или его законного представителя. Запрос может быть направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации.
8.4. Субъект персональных данных имеет право на получение при обращении или по запросу информации, касающейся обработки его персональных данных, в том числе содержащей:
• подтверждение факта обработки персональных данных оператором, а также цель такой обработки;
• способы обработки персональных данных, применяемые оператором;
• сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
• перечень обрабатываемых персональных данных и источник их получения;
• сроки обработки персональных данных, в том числе сроки их хранения;
• сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.
8.5. При отказе Учреждения исключить или исправить персональные данные субъекта он имеет право заявить в письменной форме оператору о своем несогласии с соответствующим обоснованием такого несогласия.
8.6. Субъект персональных данных имеет право отозвать свое согласие на обработку персональных данных, направив в учреждение заявление (приложение 2). В случае получения письменного заявления об отзыве согласия на обработку персональных данных, Оператор обязан прекратить их обработку.
9. Доступ к персональным данным пациента
9.1. Право доступа к персональным данным имеют:
— генеральный директор;
— главный врач;
— сам пациент, носитель данных;
— другие сотрудники организации, которые имеют доступ к персональным данным пациента только с письменного согласия самого пациента, носителя данных, либо определенные приказом генерального директора центра.
9.2. Внешний доступ.
9.2.1. К числу массовых потребителей персональных данных вне центра можно отнести государственные и негосударственные функциональные структуры:
— налоговые инспекции;
— правоохранительные органы;
— органы статистики;
— страховые агентства;
— военкоматы;
— органы социального страхования;
— пенсионные фонды;
— подразделения муниципальных органов управления;
— контрагенты центра по договорам, по которым, передача персональных данных производится исключительно для достижения целей, заявленных для обработки персональных данных в данном положении.
9.2.2. Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.
9.2.3. Персональные данные пациента могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого пациента
10. Взаимодействие с Роскомнадзором
10.1. По запросу Роскомнадзора Ответственный, назначенный приказом генерального директора центра (далее — ответственный) организует предоставление локальных актов в отношении обработки персональных данных и документов, подтверждающих принятие мер по выполнению требований ФЗ «О персональных данных», в течение 30 дней с даты получения запроса.
10.2. По требованию Роскомнадзора Ответственный организует уточнение, блокирование или уничтожение недостоверных или полученных незаконным путем персональных данных в течение 30 дней с даты получения требования.
10.3. В случаях, предусмотренных ст. 22 ФЗ «О персональных данных», Ответственный направляет в Роскомнадзор уведомление о намерении осуществлять обработку персональных данных.
10.4. В случае необходимости Ответственный направляет в Роскомнадзор обращения по вопросам обработки персональных данных, осуществляемой
11. Ответственность за нарушение порядка обработки и обеспечения безопасности персональных данных
11.1. В случае нарушения работником положений законодательства в области персональных данных он может быть привлечён к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном ТК РФ и иными федеральными законами, в соответствии с ч. 1 ст. 24 ФЗ «О персональных данных» и ст. 90 ТК РФ.
11.2. В случае разглашения работником персональных данных, ставших ему известными в связи с исполнением его трудовых обязанностей, трудовой договор с ним может быть расторгнут в соответствии с пп. «в» п. 6 ст. 81 ТК РФ.
Приложение 1
к Положению о порядке обработки персональных данных субъектов ООО «МедЦентр А+»
Образец отказа предоставить персональные данные
Разъяснение юридических последствий отказа предоставить персональные данные
Мне,_______________________________________________________, в соответствии с ч. 2 ст. 18 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных» разъяснены юридические последствия моего отказа предоставить свои персональные данные в ООО «МедЦентр А+». Я предупрежден(а), что без предоставления моих персональных данных в ООО «МедЦентр А+», обязательных для заключения трудового договора согласно ст. 57 и 65 Трудового кодекса Российской Федерации, трудовой договор не может быть заключен. Мне известно, что на основании п. 11 ч. 1 ст. 77 Трудового кодекса Российской Федерации трудовой договор прекращается вследствие нарушения установленных обязательных правил его заключения, если это нарушение исключает возможность продолжения работы.
_________________________ _______________________
Приложение № 2
к Положению о порядке обработки персональных данных субъектов ООО «МедЦентр А+»
Образец соглашения о неразглашении персональных данных
Соглашение о неразглашении персональных данных субъектов ООО «МедЦентр А+»
Я, ___________________________________________________________________________, работая в должности ______________________________________ в ООО «МедЦентр А+», обязуюсь не разглашать полученные при исполнении мной трудовых обязанностей сведения, касающиеся персональных данных субъектов (сотрудников, пациентов) ООО «МедЦентр А+». Я понимаю, что разглашение такого рода информации может нанести ущерб сотрудникам ООО «МедЦентр А+» и пациентам. В связи с этим, даю обязательство, при работе с персональными данными соблюдать требования, описанные в «Положении о порядке обработки персональных данных ООО «МедЦентр А+» и других документов ООО «МедЦентр А+», регламентирующих обработку и защиту персональных данных. В случае попытки посторонних лиц получить от меня сведения, составляющие персональные данные субъектов, обязуюсь немедленно сообщить руководителю своего структурного подразделения. Я подтверждаю, что не имею права разглашать сведения:
• анкетные и биографические данные;
• образование;
• сведения о трудовом и общем стаже;
• сведения о составе семьи;
• паспортные данные;
• сведения о воинском учете;
• сведения о здоровье;
• сведения о заработной плате субъекта;
• занимаемая должность;
• адрес места жительства;
• домашний телефон;
• подлинники и копии приказов по личному составу;
• личные дела и трудовые книжки сотрудников;
• основания к приказам по личному составу;
• дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
• копии отчетов, направляемые в органы статистики;
• ИНН, ИФНС, номер страхового свидетельства государственного пенсионного страхования;
• сведения, составляющие врачебную тайну;
• другие персональные данные.
Я предупрежден(а) о том, что в случае разглашения или утраты мною сведений, касающихся персональных данных субъектов, я несу ответственность в соответствии с законодательством Российской Федерации и внутренними документами ООО «МедЦентр А+». С «Положением о порядке обработки персональных данных субъектов ООО «МедЦентр А+» ознакомлен (а).
_________________ _____________________ Дата подпись
Приложение № 3
к Положению о порядке обработки персональных данных субъектов ООО «МедЦентр А+»
Образец отзыва согласия на обработку персональных данных
Отзыв согласия на обработку персональных данных
Ф.И.О. субъекта персональных данных: _____________________________________________________________________________
Адрес, где зарегистрирован субъект персональных данных _____________________________________________________________________________
Номер основного документа, удостоверяющего его личность, дата выдачи, наименование органа, выдавшего документ ____________________________________________________ _____________________________________________________________________________
Прошу Вас прекратить обработку моих персональных данных в связи с (указать причину): _____________________________________________________________________________
_________ ______________________________________ (подпись) (расшифровка подписи)
«___»____________ 20__ г.
Приложение № 4
к Положению о порядке обработки персональных данных субъектов ООО «МедЦентр А+»
Образец согласия на обработку данных работника
СОГЛАСИЕ НА ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
г. Набережные Челны « » _________ 20 г.
Я,_______________________________, паспорт _______________, адрес регистрации: _____________________________________________________________________, даю свое согласие ООО «МедЦентр А+» на обработку моих персональных данных. Согласие касается:
— анкетные и биографические данные;
— образование;
— сведения о трудовом и общем стаже;
— сведения о составе семьи;
— паспортные данные;
— сведения о воинском учете;
— сведения о заработной плате сотрудника;
— сведения о социальных льготах;
— специальность;
— занимаемая должность;
— наличие судимостей;
— адрес места жительства;
— адрес места прописки;
— домашний телефон;
— мобильный телефон;
— адрес электронной почты;
— содержание трудового договора;
— подлинники и копии приказов по личному составу;
— личные дела и трудовые книжки сотрудников;
— основания к приказам по личному составу;
— дела, содержащие материалы по повышению квалификации и переподготовке сотрудников, их аттестации, служебным расследованиям;
— копии отчетов, направляемые в органы статистики;
— ИНН;
— СНИЛС;
— информация о состоянии здоровья;
Я даю согласие на использование персональных данных исключительно в целях формирования кадрового документооборота предприятия, бухгалтерских операций и налоговых отчислений, а также на хранение всех вышеназванных данных на электронных носителях. Также данным согласием я разрешаю сбор моих персональных данных, их хранение, систематизацию, обновление, использование (в т.ч. передачу третьим лицам для обмена информацией), а также осуществление любых иных действий, предусмотренных действующим законом Российской Федерации.
До моего сведения доведено, что ООО «МедЦентр А+» гарантирует обработку моих персональных данных в соответствии с действующим законодательством Российской Федерации. Срок действия данного согласия не ограничен. Согласие может быть отозвано в любой момент по моему письменному заявлению.
Подтверждаю, что, давая согласие, я действую без принуждения, по собственной воле и в своих интересах.
ФИО, подпись ________________________________________________________________
Приложение № 5
к Положению о порядке обработки персональных данных субъектов ООО «МедЦентр А+»
Образец согласия на обработку персональных данных пациентов
Я, __________________________________________________________________________________,
(Ф. И. О. субъекта персональных данных)
зарегистрированный по адресу: _________________________________________________________.
Документ, удостоверяющий личность ____________________________________________________
_____________________________________________________________________________________.
(серия и номер документа, кем и когда выдан)
В соответствии со статьями 9, 10 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» даю согласие на обработку моих персональных данных Медицинскому центру А+ (ООО «МедЦентр А+» и ИП Селезнева А.В.) (далее – Оператор), находящемуся по адресу: 423823, РТ, г. Набережные Челны, бульвар Цветочный, дом 7/37В, пом. 1002, в целях оказания мне медицинских услуг и иных услуг, в том числе идентификации, отражения информации в медицинской документации, предоставления сведений страховым компаниям (в случае оплаты ими оказываемых услуг), предоставления установленной законодательством отчетности в отношении оказанных медицинских услуг.
Перечень персональных данных, на обработку которых я даю согласие: фамилия, имя, отчество, пол, возраст, дата и место рождения, адрес, паспортные данные, СНИЛС, гражданство, данные о состоянии здоровья, в том числе биометрические персональные данные, семейное, социальное положение, контактный телефон, адрес электронной почты, реквизиты полиса ОМС (ДМС), образование, тип занятости, место работы, должность, другая информация, содержащаяся в относящихся ко мне документах и иных источниках, предоставленных Оператору или полученных им в установленном законом порядке.
В отношении указанных персональных данных я даю Оператору согласие на совершение действий, предусмотренных пунктом 3 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), в том числе трансграничную, обезличивание, блокирование, удаление, уничтожение персональных данных, иных действий, предусмотренных действующим законодательством, совершаемых как с использованием средств автоматизации, так и без использования таковых, в том объеме, который необходим для достижения целей обработки, указанных в настоящем согласии. Настоящее согласие действует со дня подписания до дня его отзыва либо на срок хранения документации, установленный в законодательстве. Настоящее согласие может быть отозвано путем подачи Оператору письменного заявления.
Раздел заполняется, если согласие подписывает законный представитель недееспособного лица или представитель по доверенности
_____________________________________________________________________________________,
(Ф. И. О. представителя субъекта персональных данных)
зарегистрированный по адресу: _________________________________________________________.
Документ, удостоверяющий личность: ____________________________________________________
_____________________________________________________________________________________
(серия и номер документа, кем и когда выдан)
Документ, подтверждающий полномочия представителя: ____________________________________
_____________________________________________________________________________________
(серия и номер документа, кем и когда выдан)
_______________ ___________________________________________________________
(подпись) (Ф. И. О. полностью)
«____» _____________ 20__ г.