УТВЕРЖДАЮ
Генеральный директор ООО «КАРАТ-КЛИНИК»
___________/Кореневич К.С./
Дата последней редакции: «01» сентября 2025 г.
ПОЛОЖЕНИЕ ОБ ОБРАБОТКЕ И ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕНТОВ ООО «КАРАТ-КЛИНИК»
1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1. Настоящее Положение разработано в целях обеспечения соблюдения законодательства Российской Федерации обработки и защиты персональных данных пациентов и их законных представителей (далее – Субъектов персональных данных) в ООО «КАРАТ-КЛИНИК» (далее – Оператор или Организация).
1.2. Настоящее Положение разработано в соответствии с Конституцией Российской Федерации, Гражданским кодексом Российской Федерации, Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных», Федеральным законом от 27.07.2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации», Федеральным законом от 29.07.2004 г. №98-ФЗ «О коммерческой тайне», Федеральным законом от 22.10.2004 г. №125-ФЗ «Об архивном деле в Российской Федерации», Федеральным законом «Об основах охраны здоровья граждан в Российской Федерации» от 21.11.2011 г. №323-ФЗ, и определяет порядок обработки персональных данных субъектов ПД в Организации.
1.3. Сбор и обработка персональных данных осуществляется исключительно с письменного согласия субъекта ПД. Персональные данные относятся к категории конфиденциальной информации. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении номенклатурного срока хранения, если иное не определено законом.
1.4. Сотрудники Оператора, в обязанность которых входит ведение персональных данных субъектов ПД, обязаны обеспечить возможность ознакомления с документами и материалами, непосредственно затрагивающими права и свободы субъектов ПД, если иное не предусмотрено законом.
1.5. Персональные данные не могут быть использованы в целях:
– причинения имущественного и морального вреда гражданам;
– затруднения реализации прав и свобод граждан Российской Федерации.
1.6. Оператор не имеет права получать и обрабатывать персональные данные субъекта ПД о его расовой, национальной принадлежности, политических взглядах, религиозных и философских убеждениях, частной жизни.
1.7. Юридические и физические лица, в соответствии со своими полномочиями владеющие информацией о субъектах ПД, получающие и использующие ее, несут ответственность в соответствии с законодательством Российской Федерации за нарушение обработки и защиты этой информации.
1.8. Неправомерность деятельности органов государственной власти и организаций по сбору персональных данных может быть установлена в судебном порядке по требованию субъекта ПД согласно законодательству Российской Федерации.
1.9. Настоящее Положение утверждается генеральным директором Организации и является обязательным для исполнения всеми сотрудниками Организации, имеющими доступ к персональным данным.
2. ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
2.1. Для целей настоящего Положения в тексте применяются следующие термины и определения:
– Врачебная тайна – соблюдение конфиденциальности информации о факте обращения за медицинской помощью, состоянии здоровья пациента, диагнозе его заболевания и иных сведений, полученных при его обследовании и лечении;
– Субъект персональных данных (субъект ПД) – физическое лицо (пациент, законный представитель пациента), которое может быть однозначно идентифицировано по персональным данным;
– Персональные данные (ПД) – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу, определяемая нормативно-правовыми актами Российской Федерации в области гражданско-правовых отношений и здравоохранения;
– Оператор – юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных субъектов ПД, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
– Документы (носители), содержащие персональные данные – формы медицинской и иной учетно-отчетной документации, включающие сведения о персональных данных;
– Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
– Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных);
– Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц (передача персональных данных);
– Использование персональных данных – действия (операции) с персональными данными, совершаемые оператором в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта ПД или других лиц либо иным образом затрагивающих права и свободы субъекта ПД или других лиц;
– Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
– Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
– Обезличивание персональных данных – действия, в результате которых невозможно определить принадлежность персональных данных конкретному субъекту ПД;
– Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств;
– Конфиденциальность персональных данных – обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта ПД или наличия иного законного основания;
– Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта ПД или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности;
– Несанкционированный доступ (несанкционированные действия) – доступ к информации или действия с информацией, нарушающие правила разграничения доступа, в том числе с использованием штатных средств, предоставляемых информационными системами персональных данных.
3. ПРАВА И ОБЯЗАННОСТИ СУБЪЕКТА ПД
3.1. Субъект ПД имеет право:
– получения полной информации о своих персональных данных и обработке персональных данных, состоянии и прогнозе своего здоровья;
– доступа к своим медицинским данным с помощью сотрудника Оператора, ответственного за ведение данных;
– требовать об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований настоящего Положения;
– заявить в письменной форме о своем несогласии с соответствующим обоснованием такого;
– свободного бесплатного доступа к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные, за исключением случаев, предусмотренных федеральным законом;
– определять своих представителей для защиты своих персональных данных.
3.2. Субъект ПД обязан:
– передавать сотруднику Оператора, обрабатывающему персональные данные, комплекс достоверных, документированных персональных данных, информацию о состоянии здоровья;
– своевременно сообщать сотруднику Оператора, использующему персональные данные субъекта ПД, об их изменениях.
3.3. Субъект ПД не должен отказываться от своих прав на сохранение и защиту врачебной тайны.
4. ПЕРЕЧЕНЬ ДОКУМЕНТОВ И СВЕДЕНИЙ, СОДЕРЖАЩИХ ПЕРСОНАЛЬНЫЕ ДАННЫЕ
4.1. Лицо, обратившееся в Организацию для получения платных медицинских услуг, предъявляет следующие документы, содержащие его персональные данные:
– паспорт или иной документ, удостоверяющий личность пациента или его представителя;
– номер телефона пациента или его представителя;
– сведения о состоянии здоровья;
– адрес электронной почты пациента или его представителя;
– ИНН пациента или его представителя.
5. ТРЕБОВАНИЯ ПО ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. В целях обеспечения прав и свобод человека и гражданина Оператор и его представители при обработке персональных данных субъектов ПД обязаны соблюдать следующие общие требования:
5.1.1. Обработка персональных данных субъектов ПД может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативно-правовых актов Российской Федерации.
5.1.2. В соответствии с Федеральным законом от 27.07.2006 г. №152-ФЗ «О персональных данных», обработка медицинской организацией специальных категорий персональных данных (состояния здоровья) пациентов возможна, в том числе в следующих случаях:
– обработка персональных данных осуществляется для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта ПД невозможно;
– обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
– обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.
5.1.3. Обработка персональных данных субъектов ПД может осуществляться для статистических или иных научных целей при условии обязательного обезличивания персональных данных.
5.1.4. При определении объема и содержания обрабатываемых персональных данных субъекта ПД сотрудники Оператора, участвующие в процессе обработки, должны руководствоваться Конституцией Российской Федерации, Федеральным законом «Об основах охраны здоровья граждан в Российской Федерации» от 21.11.2011 г. №323-ФЗ и иными нормативно-правовыми актами Российской Федерации.
5.1.5. Все персональные данные субъекта ПД следует получать у него самого или у его представителя.
5.2. Если персональные данные субъекта ПД возможно получить только у третьей стороны, то субъект ПД должен быть уведомлен об этом заранее и от него должно быть получено письменное согласие.
5.3. Сотрудник Оператора должен сообщить субъекту ПД о целях обработки персональных данных, составе персональных данных, подлежащих обработке, действиях (операциях), совершаемых с персональными данными, предполагаемых источниках и способах получения персональных данных, а также о последствиях отказа субъекта ПД дать письменное согласие на их получение.
5.4. Защита персональных данных субъектов ПД от неправомерного их использования или утраты должна быть обеспечена Оператором за счет своих средств в порядке, установленном федеральным законом.
5.5. Субъекты ПД и их представители должны быть ознакомлены с документами Организации, устанавливающими порядок обработки и защиты персональных данных субъектов ПД, а также об их правах и обязанностях в этой области.
5.6. Обработка персональных данных должна осуществляться на основе следующих принципов:
– законности целей и способов обработки персональных данных и добросовестности;
– соответствия целей обработки персональных данных целям, заранее определенным при сборе персональных данных;
– достоверности персональных данных и их достаточности;
– личной ответственности сотрудников Оператора за сохранность и конфиденциальность персональных данных, а также носителей этой информации;
– наличие четкой разрешительной системы доступа сотрудников Организации к документам и базам данных, содержащим персональные данные.
5.7. Получение персональных данных преимущественно осуществляется путем представления их субъектом ПД, на основании его письменного согласия, за исключением случаев, прямо предусмотренных действующим законодательством Российской Федерации. Для обработки персональных данных субъекта ПД, содержащихся в согласии на обработку персональных данных в письменной форме, дополнительное согласие не требуется.
5.8. Все действия по обработке персональных данных субъектов ПД осуществляются только сотрудниками Организации, допущенными приказом генерального директора Организации к работе с персональными данными субъектов ПД, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.
5.9. Все меры конфиденциальности при сборе, обработке и хранении персональных данных субъектов ПД распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
5.10. Не допускается отвечать на вопросы, связанные с передачей персональной информации по телефону.
5.11. С сотрудниками Оператора, ответственными за хранение персональных данных или владеющими персональными данными в силу своих должностных обязанностей, заключаются Соглашения о неразглашении персональных данных пациентов. Экземпляр Соглашения хранится в Организации.
5.12. Автоматизированная обработка и хранение персональных данных субъектов ПД допускаются только после выполнения всех основных мероприятий по защите информации.
5.13. Медицинские карты и другие формы медицинской документации, находящиеся в обработке и содержащие персональные данные субъектов ПД, оформляются и хранятся в Организации в соответствии с требованиями действующих локальных приказов. Хранение оконченных производством документов, содержащих персональные данные субъектов ПД, осуществляется в архиве Организации.
5.14. Помещения, в которых хранятся персональные данные субъектов ПД, должны быть запираемыми на ключ или оборудованными специальными сейфами или металлическими шкафами с установленной охранно-пожарной сигнализацией. Перечень сотрудников Организации, имеющих доступ к помещениям, в которых хранятся персональные данные субъектов ПД, определяется и утверждается в установленном порядке приказом генерального директора Организации.
5.15. Информационные системы персональных данных, осуществляющие хранение персональных данных субъектов ПД, подлежат обязательной защите посредством системы парольного доступа. Перечень сотрудников Организации, обладающих правом аутентификации в системе, определяется и утверждается в установленном порядке приказом генерального директора Организации.
6. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ
6.1. Доступ к персональным данным субъектов ПД имеют сотрудники Организации, непосредственно использующие их в служебных целях, допущенные приказом генерального директора Организации к работе с персональными данными субъектов ПД.
6.2. Уполномоченные сотрудники Организации имеют право получать только те персональные данные субъекта ПД, которые необходимы для выполнения конкретных трудовых функций в соответствии с их должностными обязанностями.
6.3. Персональные данные субъекта ПД могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого субъекта ПД.
7. ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ ТРЕТЬИМ ЛИЦАМ
7.1. Передача персональных данных субъектов ПД третьим лицам осуществляется Оператором только с письменного согласия субъекта ПД, за исключением случаев, предусмотренных Федеральным законом «Об основах охраны здоровья граждан в Российской Федерации» от 21.11.2011 г. №323-ФЗ.
Лица, которым в установленном законом порядке переданы сведения, составляющие врачебную тайну, наравне с медицинскими и фармацевтическими работниками несут ответственность за разглашение врачебной тайны дисциплинарную, административную или уголовную ответственность в соответствии с законодательством Российской Федерации.
7.2. Организация обеспечивает ведение журнала учета выданных персональных данных субъектов ПД, в котором регистрируются поступившие запросы, фиксируются сведения о лице, направившем запрос, дата передачи персональных данных, а также отмечается, какая именно информация была передана.
В случае если лицо, обратившееся с запросом, не уполномочено федеральным законом на получение персональных данных субъекта ПД, либо отсутствует письменное согласие субъекта ПД на предоставление его персональных данных, Организация обязана отказать в предоставлении персональных данных. В данном случае лицу, обратившемуся с запросом, выдаётся мотивированный отказ в предоставлении персональных данных в письменной форме, копия отказа хранится в Организации.
Передача указанных сведений и документов осуществляется с согласия субъекта ПД. Согласие субъекта ПД оформляется письменно в виде отдельного документа. После получения согласия субъекта ПД дальнейшая передача указанных сведений и документов данным лицам дополнительного письменного согласия не требует.
8. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ
8.1. Под угрозой или опасностью утраты персональных данных понимается единичное или комплексное, реальное или потенциальное, активное или пассивное проявление злоумышленных возможностей внешних или внутренних источников угрозы создавать неблагоприятные события, оказывать дестабилизирующее воздействие на защищаемую информацию.
Риск угрозы любым информационным ресурсам создают стихийные бедствия, экстремальные ситуации, террористические действия, аварии технических средств и линий связи, другие объективные обстоятельства, а также заинтересованные и незаинтересованные в возникновении угрозы лица.
Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:
– обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
– соблюдение конфиденциальности информации ограниченного доступа;
– реализацию права на доступ к информации.
8.2. Регламентация доступа сотрудников Оператора к конфиденциальным сведениям, документам и базам данных входит в число основных направлений организационной защиты информации.
8.3. Для защиты персональных данных субъектов ПД необходимо соблюдать ряд мер:
– наличие необходимых условий в помещении для работы с конфиденциальными документами и базами данных;
– определение и регламентация состава сотрудников Оператора, имеющих право доступа (входа) в помещение, в котором находятся персональные данные субъектов ПД;
– организация порядка уничтожения информации;
– своевременное выявление нарушений требований разрешительной системы доступа;
– воспитательная и разъяснительная работа с сотрудниками Оператора по предупреждению утраты ценных сведений при работе с конфиденциальными документами.
8.4. Бумажные носители информации могут выдаваться на рабочие места, только сотрудникам Организации, допущенным приказом генерального директора Организации к работе с персональными данными субъектов ПД.
8.5. Для защиты конфиденциальной информации создаются целенаправленные неблагоприятные условия и труднопреодолимые препятствия для лица, пытающегося совершить несанкционированный доступ и овладение информацией. Целью и результатом несанкционированного доступа к информационным ресурсам может быть не только овладение ценными сведениями и их использование, но и их видоизменение, уничтожение, внесение вируса, подмена, фальсификация содержания реквизитов документа и т.д.
8.6. Под посторонним лицом понимается любое лицо, не имеющее непосредственного отношения к деятельности Организации: посетители, работники других организационных структур. Посторонние лица не должны знать распределение функций, рабочие процессы, технологию составления, оформления, ведения и хранения источников информации о состоянии здоровья субъектов ПД.
8.7. Для защиты персональных данных субъектов ПД необходимо соблюдать ряд мер:
– порядок приема, учета и контроля деятельности посетителей;
– технические средства охраны;
– порядок охраны территории, зданий, помещений;
– требования к защите информации при опросе и сборе анамнеза.
8.8. Для обеспечения безопасности персональных данных субъектов ПД при неавтоматизированной обработке предпринимаются следующие меры:
8.8.1. Все действия по обработке персональных данных субъектов ПД осуществляются только сотрудниками Оператора, допущенными приказом генерального директора Организации к работе с персональными данными субъектов ПД, и только в объеме, необходимом данным лицам для выполнения своей трудовой функции.
8.8.2. Обработка персональных данных осуществляется с соблюдением порядка, предусмотренного Постановлением Правительства от 15.09.2008 г. №687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».
8.9. Для обеспечения безопасности персональных данных субъектов ПД при автоматизированной обработке предпринимаются следующие меры:
8.9.1. Персональные компьютеры (ПК), с которых осуществляется доступ к персональным данным, защищены паролями доступа. Пароли устанавливаются и сообщаются индивидуально сотруднику Организации, допущенному к работе с персональными данными и осуществляющему обработку персональных данных субъектов ПД на данном ПК.
8.9.2. Обработка персональных данных осуществляется с соблюдением порядка, предусмотренного Постановлением Правительства от 01.11.2012 г. №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
8.10. Хранение персональных данных субъектов ПД осуществляется не дольше, чем этого требуют цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
8.11. Хранение документов, содержащих персональные данные субъектов ПД, осуществляется в течение установленных действующими нормативно-правовыми актами сроков хранения данных документов.
Сроки хранения медицинских карт и других форм медицинской документации, а также иных сведений, документов и баз данных, содержащих персональные данные субъектов ПД, указаны в следующих нормативно-правовых актах Российской Федерации:
– Письмо Минздрава России от 07.12.2015 г. №13-2/1538 «О сроках хранения медицинской документации»;
– Федеральный закон от 22.10.2004 г. №125-ФЗ «Об архивном деле в Российской Федерации»;
– Приказ Минздрава России от 07.09.2020 г. №947н «Об утверждении Порядка организации системы документооборота в сфере охраны здоровья в части ведения медицинской документации в форме электронных документов»;
– иные нормативно-правовые акты Российской Федерации.
По истечении установленных сроков хранения документы подлежат уничтожению в порядке, предусмотренном приказом генерального директора Организации.
9. ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ НОРМ, РЕГУЛИРУЮЩИХ ОБРАБОТКУ И ЗАЩИТУ ПЕРСОНАЛЬНЫХ ДАННЫХ
9.1. Руководитель Организации, разрешающий доступ сотруднику Организации к конфиденциальным данным, несет персональную ответственность за данное разрешение.
9.2. Каждый сотрудник Организации, получающий для работы конфиденциальные данные, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
9.3. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта ПД, привлекаются к ответственности в порядке, установленном Трудовым кодексом Российской Федерации и иными нормативно-правовыми актами, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном законодательством Российской Федерации.
10. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ
10.1. Настоящее Положение вступает в силу с момента его утверждения и вводится в действие приказом генерального директора Организации.
10.2. Внесение изменений в Положение осуществляется путём утверждения его новой редакции на основании приказа генерального директора Организации.
10.3. Настоящее Положение распространяется на всех субъектов ПД – пациентов и их законных представителей, обращающихся за медицинской помощью в Организацию, а также сотрудников Организации, имеющих доступ к персональным данным и осуществляющих обработку персональных данных субъектов ПД.
10.4. В обязанности сотрудников Организации, осуществляющих первичный сбор персональных данных субъектов ПД входит их информирование о возможности ознакомление с настоящим положением, и обязательное получение Согласия пациента на обработку персональных данных.