Общие положения

 

1.1. Целью данного Положения является защита персональных данных и сведений, составляющих врачебную тайну, пациентов БУ РК «Республиканский центр специализированных видов медицинской помощи» (БУ РК «РЦСВМП») от несанкционированного доступа, неправомерного их использования или утраты.

1.2. Настоящее Положение разработано на основании статей Конституции РФ,      Трудового Кодекса РФ, Кодекса об административных правонарушениях РФ, Гражданского Кодекса РФ, Уголовного Кодекса РФ, а также Федеральных законов, регламентирующих защиту информации и персональных данных.

1.3. Персональные данные и сведения, составляющие врачебную тайну, (далее – персональные данные) относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 25 лет срока хранения, если иное не определено законом.

1.4. Настоящее Положение утверждается и вводится в действие приказом главного врача и является обязательным для исполнения всеми работниками, имеющими доступ к персональным данным пациентов.

 

 Понятие и состав персональных данных

 

2.1. Персональные данные пациента – информация, необходимая БУ РК «РЦСВМП» для осуществления медицинской деятельности и касающаяся конкретного пациента. Под информацией о пациенте понимаются сведения о фактах, событиях и обстоятельствах жизни и пребывания в стационаре пациента, позволяющие идентифицировать его личность.

2.2. В состав персональных данных работника входят:

- паспортные данные;

- сведения о составе семьи;

- реквизиты страхового медицинского полиса;

- реквизиты страхового пенсионного полиса (СНИЛС);

- сведения о социальных льготах;

- место работы;

- занимаемая должность; 

- адрес места жительства;

- домашний телефон;

- место работы или учебы членов семьи и родственников;

- характер взаимоотношений в семье;

- факт обращения за медицинской помощью в БУ РК «РЦСВМП»

- сведения о диагнозе;

- сведения о состоянии здоровья, результатах медицинского обследования, лечении.

 

 Обработка персональных данных

 

3.1. Под обработкой персональных данных пациента понимается получение, хранение, комбинирование, передача или любое другое использование персональных данных.

3.2. В целях обеспечения прав и свобод человека и гражданина БУ РК «РЦСВМП» при обработке персональных данных пациента  соблюдает следующие общие требования:

3.2.1. Обработка персональных данных пациента  осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных актов,  действующих в здравоохранении, а также в целях оказания медицинской помощи больным, выполнения БУ РК «РЦСВМП» Территориальной программы государственных гарантий оказания медицинской помощи гражданам РФ на территории РК, осуществления финансовых операций со страховыми компаниями, ФОМС.

3.2.2. При определении объема и содержания обрабатываемых персональных данных БУ РК «РЦСВМП»  руководствуется медицинскими стандартами, эпидемиологическими сведениями, необходимыми для установления диагноза и проведения профилактических мероприятий, а также требованиями страховых медицинских организаций и ФОМС по предоставлению реестров и другой документации, необходимой для проведения финансовых взаиморасчетов.

3.2.3. Получение персональных данных может осуществляться как путем представления их самим пациентом, так и путем получения их от родственников больного (если больной несовершеннолетний или находится в состоянии недееспособности).

3.2.5. БУ РК «РЦСВМП»  не имеет права получать и обрабатывать персональные данные пациента о его политических, религиозных и иных убеждениях и частной жизни. В случаях, непосредственно связанных с вопросами оказания медицинской помощи или санитарно – эпидемиологического благополучия данные о частной жизни пациента (информация о жизнедеятельности в сфере семейных, бытовых, личных отношений) могут быть получены и обработаны  только  с его письменного согласия.

3.3. К получению, обработке, передаче и хранению персональных данных работника могут иметь доступ сотрудники:

- главный врач;

- заместители главного врача по медицинской части;

- заведующие  отделениями;

- все врачи и медицинские сестры БУ РК «РЦСВМП»;

- сотрудники бухгалтерии;

- программист.

3.4. Использование персональных данных возможно только в соответствии с целями, определившими их получение.

3.5. Персональные данные пациента при осуществлении уставной деятельности БУ РК «РЦСВМП» могут передаваться в следующие организации:

- Министерство здравоохранения и социального развития Республики Калмыкия;

- Управление Росздравнадзора по РК;

- Управление Роспотребнадзора по РК;

- страховые медицинские организации;

- ФОМС;

- другие ЛПУ РК и РФ,

- прокуратура, следственные органы и др.

3.5. Передача персональных данных пациента возможна только с его согласия или в случаях, прямо предусмотренных законодательством и другими нормативными актами в здравоохранении.

3.5.1. При передаче персональных данных пациента БУ РК «РЦСВМП» должно соблюдать следующие требования:

- не сообщать персональные данные пациента третьей стороне без его письменного согласия, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью пациента, эпидемиологическому благополучию, а также в случаях, установленных федеральным законом;

- предупредить лиц, получающих персональные данные пациента, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные пациента, обязаны соблюдать режим секретности (конфиденциальности).

- разрешать доступ к персональным данным пациентов только специально уполномоченным лицам, определенным приказом по организации.

3.5.2. Передача персональных данных от держателя или его представителей внешнему потребителю допускается в минимальных объемах и только в целях выполнения задач, соответствующих объективной причине сбора этих данных.

3.6. Все меры конфиденциальности при сборе, обработке и хранении персональных данных пациента распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.

3.7. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону или факсу.

3.8. Хранение персональных данных должно происходить в порядке, исключающем их утрату или их неправомерное использование.

3.9. При принятии решений, затрагивающих интересы пациента, БУ РК «РЦСВМП» не имеет права основываться на персональных данных пациента, полученных исключительно в результате их автоматизированной обработки или электронного получения.

 

 Доступ к персональным данным

 

4.1. Внутренний доступ (доступ внутри организации).

4.1.1. Право доступа к персональным данным пациента имеют:

- главный врач;

- заместители главного врача по медицинской части;

- сам пациент, носитель данных;

- другие сотрудники организации при выполнении ими своих служебных обязанностей.

4.1.2. Перечень лиц, имеющих доступ к персональным данным пациентов, определяется приказом главного врача.

4.2. Внешний доступ.

4.2.1. К числу  потребителей персональных данных вне  ГУЗ «РЦСВМП» можно отнести:

- Министерство здравоохранения и социального развития Республики Калмыкия;

- Управление Росздравнадзора по РК;

- Управление Роспотребнадзора по РК;

- страховые медицинские организации;

- ФОМС;

- другие ЛПУ РК и РФ.

- прокуратура, следственные органы и др.

4.2.2. Надзорно-контрольные органы имеют доступ к информации только в сфере своей компетенции.

     Персональные данные пациента могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого пациента или его законного представителя.

 

 Защита персональных данных

 

5.1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.

5.2. Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.

5.3. Защита персональных данных представляет собой жестко регламентированный и динамически технологический процесс, предупреждающий нарушение доступности, целостности, достоверности и конфиденциальности персональных данных и, в конечном счете, обеспечивающий достаточно надежную безопасность информации в процессе  производственной деятельности учреждения.

5.4. Защита персональных данных пациента от неправомерного их использования или утраты должна быть обеспечена БУ РК «РЦСВМП» за счет его средств и в порядке, установленном федеральным законом.

5.5. «Внутренняя защита».

5.5.1. Основным виновником несанкционированного доступа к персональным данным является, как правило, персонал, работающий с документами и базами данных. Регламентация доступа персонала к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации. 5.5.2. Для обеспечения внутренней защиты персональных данных пациента необходимо соблюдать ряд мер:

- ограничение и регламентация состава работников, функциональные обязанности которых требуют конфиденциальных знаний;

- строгое избирательное и обоснованное распределение документов и информации между работниками;

- рациональное размещение рабочих мест работников, при котором исключалось бы бесконтрольное использование защищаемой информации;

- знание пациентом требований нормативно – методических документов по защите информации и сохранении тайны;

- наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;

- организация порядка уничтожения информации;

- своевременное выявление нарушения требований разрешительной системы доступа работниками подразделения;

- воспитательная и разъяснительная работа с сотрудниками  по предупреждению утраты ценных сведений при работе с конфиденциальными документами;

5.5.3. Защита персональных данных пациента на электронных носителях.

Все папки, содержащие персональные данные пациента, должны быть защищены паролем, который сообщается только ответственному лицу и  программисту.

5.6. «Внешняя защита».

5.6.1. Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация  и др.

5.6.2. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности учреждения, посетители, работники других организационных структур. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения документов и рабочих материалов.

5.6.3. Для обеспечения внешней защиты персональных данных пациентов необходимо соблюдать ряд мер:

- порядок приема, учета и контроля деятельности посетителей;

- пропускной режим организации;

- учет и порядок выдачи справок, выписок из истории болезни и т.д.;

- технические средства охраны, сигнализации;

- порядок охраны территории и зданий.

5.7. Все лица, связанные с получением, обработкой и защитой персональных данных, обязаны подписать обязательство о неразглашении персональных данных пациента.

5.8. По возможности персональные данные обезличиваются.

 

 Права и обязанности пациента

 

6.1. Закрепление прав пациента, регламентирующих защиту его персональных данных, обеспечивает сохранность полной и точной информации о нем.

6.2. Пациенты должны быть ознакомлены под расписку с документами организации, устанавливающими порядок обработки персональных данных пациента.

6.3. В целях защиты персональных данных пациент имеет право:

- требовать исключения или исправления неверных или неполных персональных данных;

- на свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные;

- на сохранение и защиту своей личной и семейной тайны.

6.4. Пациент обязан:

- передавать и сообщать БУ РК «РЦСВМП» комплекс достоверных персональных данных, состав которых необходим для ведения медицинской карты и реестров в системе ОМС и ДМС;

- своевременно сообщать БУ РК «РЦСВМП» об изменении своих персональных данных.

 

 Ответственность за разглашение конфиденциальной информации, связанной с персональными данными

 

7.1. Персональная ответственность – одно из главных требований к организации функционирования системы защиты персональной информации и обязательное условие обеспечения эффективности этой системы.

7.2. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о гражданах, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение режима защиты, обработки и порядка использования этой информации.

7.3. Руководитель, разрешающий доступ сотрудника к конфиденциальному документу, несет персональную ответственность за данное разрешение.

7.4. Каждый сотрудник БУ РК «РЦСВМП», получающий для работы конфиденциальный документ, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.

7.5. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных пациента, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами.

7.5.1. За неисполнение или ненадлежащее исполнение работником по его вине возложенных на него обязанностей по соблюдению установленного порядка работы со сведениями конфиденциального характера главный врач вправе применять предусмотренные Трудовым Кодексом дисциплинарные взыскания.

7.5.2. Должностные лица, в обязанность которых входит ведение персональных данных пациента, обязаны обеспечить каждому пациенту возможность ознакомления с документами и материалами, непосредственно связанными с фактом обращения его за медицинской помощью в БУ РК «РЦСВМП», если иное не предусмотрено законом. Неправомерный отказ в предоставлении  документов, либо несвоевременное предоставление таких документов или иной информации в случаях, предусмотренных законом, либо предоставление неполной или заведомо ложной информации – влечет наложение на должностных лиц административного штрафа в размере, определяемом Кодексом об административных правонарушениях.

7.5.3. В соответствии с Гражданским Кодексом лица, незаконными методами получившие информацию, составляющую врачебную тайну, обязаны возместить причиненные убытки.

7.5.4. Уголовная ответственность установлена за нарушение неприкосновенности частной жизни (в том числе незаконное собирание или распространение сведений о частной жизни лица, составляющего его личную или семейную тайну, без его согласия), неправомерный доступ к охраняемой законом компьютерной информации, неправомерный отказ в предоставлении собранных в установленном порядке документов и сведений (если эти деяния причинили вред правам и законным интересам граждан), совершенные лицом с использованием своего служебного положения в виде наказания штрафом, либо лишением права занимать определенные должности или заниматься определенной деятельностью, либо арестом в соответствии с УК РФ.

7.6. Неправомерность деятельности органов государственной власти и организации по сбору и использованию персональных данных может быть установлена в судебном порядке.