+38 044 501 02 03
Network Network
ua
  • UA
  • ru

Положення про обробку та захист персональних даних пацієнтів

  1. Загальні положення
    • Положення про обробку та захист персональних даних пацієнтів (далі — Положення) визначає комплекс організаційних та технічних заходів для забезпечення захисту персональних даних пацієнтів ТОВАРИСТВА З ОБМЕЖЕНОЮ ВІДПОВІДАЛЬНІСТЮ «ХЕЛСІ ЕНД ХЕПІ» (далі — Клініка) від несанкціонованого доступу, витоку інформації, неправомірного використання або втрати під час обробки.
    • Положення розроблено на підставі Конституції України, Закону України «Про захист персональних даних» від 01.06.2010 № 2297-VI зі змінами (далі — Закон № 2297), інших законів та підзаконних нормативно-правових актів України.
    • Положення є обов’язковим для виконання працівниками Клініки, які мають доступ до персональних даних пацієнтів та обробляють персональні дані.

Усі терміни у цьому Положенні визначаються відповідно до Закону № 2297, а саме:

база персональних даних – іменована сукупність упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних;

володілець персональних даних – фізична або юридична особа, яка визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом;

згода суб’єкта персональних даних – добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди. У сфері електронної комерції згода суб’єкта персональних даних може бути надана під час реєстрації в інформаційно-комунікаційній системі суб’єкта електронної комерції шляхом проставлення відмітки про надання дозволу на обробку своїх персональних даних відповідно до сформульованої мети їх обробки, за умови, що така система не створює можливостей для обробки персональних даних до моменту проставлення відмітки;

знеособлення персональних даних – вилучення відомостей, які дають змогу прямо чи опосередковано ідентифікувати особу;

картотека – будь-які структуровані персональні дані, доступні за визначеними критеріями, незалежно від того, чи такі дані централізовані, децентралізовані або розділені за функціональними чи географічними принципами;

обробка персональних даних – будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем;

одержувач – фізична чи юридична особа, якій надаються персональні дані, у тому числі третя особа;

персональні дані – відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;

розпорядник персональних даних – фізична чи юридична особа, якій володільцем персональних даних або законом надано право обробляти ці дані від імені володільця;

суб’єкт персональних даних – фізична особа, персональні дані якої обробляються;

третя особа – будь-яка особа, за винятком суб’єкта персональних даних, володільця чи розпорядника персональних даних та Уповноваженого Верховної Ради України з прав людини, якій володільцем чи розпорядником персональних даних здійснюється передача персональних даних.

  • До персональних даних працієнта належать будь-які відомості чи сукупність відомостей про пацієнта, за якими він ідентифікується чи може бути конкретно ідентифікованим.
  • Персональні дані пацієнтів є інформацією з обмеженим доступом.
  • Персональні дані пацієнтів обробляються у базі персональних даних «База персональних даних пацієнтів» (надалі – «База персональних даних пацієнтів»), володільцем якої є Клініка.
  • Розпорядником Бази персональних даних пацієнтів є Клініка.
  • База персональних даних пацієнтів реєструється у відповідності до ст. 9 Закону № 2297.
  • Персональні дані у Базі персональних даних пацієнтів обробляються на паперових носіях та за допомогою інформаційних (автоматизованих) систем.
  • Під обробкою персональних даних пацієнтів розуміється будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних пацієнтів, у тому числі з використанням інформаційних (автоматизованих) систем.
  • База персональних даних працієнтів знаходиться за реєстраційною адресою Клініки.
  1. Мета обробки персональних даних
    • Обробка персональних даних у Базі персональних даних пацієнтів проводиться з метою забезпечення реалізації медичного обслуговування пацієнтів (відповідно до Закону України «Основи Законодавства України про охорону здоров’я»). Дані обробляються медичними працівниками або іншими особами Клініки (ліцензія МОЗ серії АЕ №282859 від 24 жовтня 2013р. на провадження господарської діяльності з медичної практики) на яких покладено обов’язки щодо забезпечення захисту персональних даних пацієнтів та/або поширюється дія законодавства про лікарську таємницю.
  2. Склад персональних даних у Базі персональних даних пацієнтів
    • Склад та зміст персональних даних пацієнтів мають бути відповідними, адекватними та ненадмірними стосовно визначеної мети їх обробки.
    • Персональні дані мають бути точними, достовірними та оновлюватися в міру потреби, визначеної метою їх обробки.
    • Первинними джерелами відомостей про фізичну особу є: видані на її ім’я документи; підписані нею документи; відомості, які особа надає про себе.
    • Обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб’єкта персональних даних.
    • Персональні дані обробляються у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, не довше, ніж це необхідно для законних цілей, у яких вони збиралися або надалі оброблялися.
    • У Клініці не обробляються відомості про расове або етнічне походження пацієнтів, їх політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, засудження до кримінального покарання, відомості, що стосуються статевого життя.
  3. Обов’язки та права особи, відповідальної за організацію роботи, пов’язаної із захистом персональних даних у Клініці
    • З урахуванням вимог статті 24 Закону № 2297, наказом директора Клініки призначається особа, відповідальна за організацію роботи, пов’язаної із захистом персональних даних у Клініці (далі — Відповідальна особа). Наказ доводиться до відома Відповідальної особи під підпис.
    • Відповідальна особа:
      • Забезпечує:
    • організацію обробки персональних даних пацієнтів працівниками Клініки відповідно до їх посадових обов’язків в обсязі, необхідному для виконання таких обов’язків;
    • аналіз процесів обробки персональних даних пацієнтів відповідно до основних завдань та функцій Клініки, у т. ч. визначення мети, з якою обробляються персональні дані, правових підстав для обробки персональних даних, відповідність та не надмірність персональних даних згідно з визначеною метою їх обробки, визначення третіх осіб, та приведення переліку персональних даних у відповідність до визначеної мети та правових підстав їх обробки;
    • визначення баз персональних даних;
    • подання заяв та повідомлень про обробку персональних даних (за необхідності);
    • ознайомлення керівників структурних підрозділів та працівників Клініки з вимогами законодавства про захист персональних даних та змінами до нього, зокрема щодо зобов’язання не допускати розголошення у будь-який спосіб персональних даних, які було довірено або які стали відомі у зв’язку з виконанням посадових обов’язків;
    • організацію обробки запитів третіх осіб щодо доступу до персональних даних пацієнтів.
      • Сприяє доступу суб’єктів персональних даних до власних персональних даних.
      • За необхідності готує проекти змін та доповнень до цього Положення, подає зазначені проекти на розгляд директору Клініки.
      • Інформує директора Клініки про заходи, яких необхідно вжити для приведення складу персональних даних та процедур їх обробки у відповідність до закону.
      • Інформує директора Клініки про порушення встановлених процедур обробки персональних даних.
    • Відповідальна особа має право:
      • Перевіряти стан дотримання працівниками Клініки законодавства у сфері захисту персональних даних та виконання вимог цього Положення, брати участь у службових розслідуваннях з питань порушень порядку обробки та захисту персональних даних.
      • Вносити директору Клініки пропозиції про розмежування режиму доступу працівників до обробки персональних даних відповідно до їх посадових обов’язків.
      • Розглядати вимоги пацієнтів щодо заперечення проти обробки їх персональних даних.
  1. Права та обов’язки пацієта як суб’єкта персональних даних

Відповідно до Закону № 2297 пацієнт Клініки як фізична особа, щодо якої здійснюється обробка її персональних даних:

  • Є суб’єктом персональних даних та має право:

– знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;

– отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;

– на доступ до своїх персональних даних;

– отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних;

– пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;

– пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;

– на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;

– звертатися із скаргами на обробку своїх персональних даних до Уповноваженого або до суду;

– застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;

– вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;

– відкликати згоду на обробку персональних даних;

– знати механізм автоматичної обробки персональних даних;

– на захист від автоматизованого рішення, яке має для нього правові наслідки.

  1. Обов’язки працівників Клініки, які обробляють персональні дані

Працівники Клініки, які обробляють персональні дані:

  • Мають бути обізнані з вимогами Закону № 2297 та інших нормативно-правових актів у сфері захисту персональних даних.
  • Зобов’язані
    • Запобігати втраті персональних даних або їх неправомірному використанню;
    • Не розголошувати персональні дані, які їм було довірено або які стали відомі у зв’язку з виконанням посадових обов’язків, при цьому таке зобов’язання чинне після припинення ними діяльності, пов’язаної з персональними даними, крім випадків, установлених Законом № 2297;
    • Терміново повідомляти Відповідальну особу у разі
  • втрати або неумисного знищення носіїв інформації з персональними даними;
  • втрати ними ключів від приміщень, сейфів, шаф, де зберігаються персональні дані;
  • якщо ідентифікаційні дані для входу інформаційну систему стали відомі іншим особам;
  • виявлення спроби несанкціонованого доступу до персональних даних пацієнтів.
    • При звільненні з роботи або переведенні на іншу посаду своєчасно передати керівнику структурного підрозділу або іншому працівнику, визначеному керівництвом Клініки, носії інформації, що містять відомості про персональні дані, які були отримані або створені особисто чи спільно з іншими працівниками під час виконання посадових обов’язків.
  1. Порядок отримання згоди на обробку персональних даних пацієнта, збирання персональних даних пацієнта, зберігання та знищення персональних даних пацієнта, використання персональних даних пацієнта працівниками Клініки, облік порушень режиму захисту персональних даних пацієнта
    • Порядок отримання згоди на обробку персональних даних пацієнта
      • Згода суб’єкта персональних даних має бути добровільним волевиявленням фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки. Згода суб’єкта персональних даних може бути надана у наступних формах:
    • документ на паперовому носії з реквізитами, що дає змогу ідентифікувати цей документ і фізичну особу;
    • електронний документ, який має містити обов’язкові реквізити, що дають змогу ідентифікувати цей документ та фізичну особу. Добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних доцільно засвідчувати електронним підписом суб’єкта персональних даних.
    • відмітка на електронній сторінці документа чи в електронному файлі, що обробляється в інформаційній системі на основі документованих програмно-технічних рішень.
      • Збирання персональних даних пацієнта
        • Збирання персональних даних є складовою процесу їх обробки, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу.
        • Суб’єкт персональних даних повідомляється про володільця персональних даних, склад та зміст зібраних персональних даних, свої права, визначені Законом № 2297, мету збору персональних даних та осіб, яким передаються його персональні дані в момент збору персональних даних у суб’єкта персональних даних.
      • Зберігання та знищення персональних даних пацієнта
        • Накопичення персональних даних передбачає дії щодо поєднання та систематизації відомостей про фізичну особу та внесення цих даних до бази персональних даних.
        • Зберігання персональних даних передбачає дії щодо забезпечення їх цілісності та відповідного режиму доступу до них.
        • Знищення персональних даних здійснюється у спосіб, що виключає подальшу можливість поновлення таких персональних даних пацієнта, в порядку визначеному Законом № 2297.
      • Використання персональних даних працівниками Клініки
        • Використання персональних даних передбачає будь-які дії Клініки щодо обробки цих даних, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб’єктам відносин, пов’язаних із персональними даними, що здійснюються за згодою суб’єкта персональних даних чи відповідно до Закону № 2297. Використання персональних даних Клінікою здійснюється у разі створення нею умов для захисту цих даних. Клініці забороняється розголошувати відомості стосовно суб’єктів персональних даних, доступ до персональних даних яких надається іншим суб’єктам відносин, пов’язаних з такими даними.
        • Використання персональних даних працівниками суб’єктів відносин, пов’язаних з персональними даними, повинно здійснюватися лише відповідно до їхніх професійних чи службових або трудових обов’язків. Ці працівники зобов’язані не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків, крім випадків, передбачених законом. Таке зобов’язання чинне після припинення ними діяльності, пов’язаної з персональними даними, крім випадків, установлених Законом № 2297.
        • Відомості про особисте життя фізичної особи не можуть використовуватися як чинник, що підтверджує чи спростовує її ділові якості.
        • Якщо особа, яка є резидентом Дія Сіті відповідно до Закону України“Про стимулювання розвитку цифрової економіки в Україні”, виступає суб’єктом відносин, пов’язаних з персональними даними, використання таких персональних даних гіг-спеціалістами резидента Дія Сіті має здійснюватися лише відповідно до їхніх обов’язків за гіг-контрактами. Ці гіг-спеціалісти зобов’язані не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали їм відомі у зв’язку з виконанням обов’язків за гіг-контрактом, крім випадків, передбачених законом. Таке зобов’язання є чинним після припинення ними діяльності, пов’язаної з персональними даними, крім випадків, установлених Законщм № 2297.
      • Облік порушень режиму захисту персональних даних
        • Факти порушень режиму захисту персональних даних фіксуються актами, які складає Відповідальна особа.
        • За необхідності за фактами порушень режиму захисту персональних даних директором Клініки призначається службове розслідування.
        • За результатами службового розслідування на працівників, винних у порушеннях, можуть бути накладені дисциплінарні стягнення.
  1. Порядок доступу до персональних даних пацієнта

8.1. Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб’єкта персональних даних на обробку цих даних, наданої володільцю персональних даних, або відповідно до вимог закону.

8.2. Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов’язання щодо забезпечення виконання вимог цього Закону № 2297 або неспроможна їх забезпечити.

8.3. Суб’єкт відносин, пов’язаних з персональними даними, подає запит щодо доступу (далі – запит) до персональних даних володільцю персональних даних.

8.4. У запиті зазначаються:

1) прізвище, ім’я та по батькові, місце проживання (місце перебування) і реквізити документа, що посвідчує фізичну особу, яка подає запит (для фізичної особи – заявника);

2) найменування, місцезнаходження юридичної особи, яка подає запит, посада, прізвище, ім’я та по батькові особи, яка засвідчує запит; підтвердження того, що зміст запиту відповідає повноваженням юридичної особи (для юридичної особи – заявника);

3) прізвище, ім’я та по батькові, а також інші відомості, що дають змогу ідентифікувати фізичну особу, стосовно якої робиться запит;

4) відомості про базу персональних даних, стосовно якої подається запит, чи відомості про володільця чи розпорядника персональних даних;

5) перелік персональних даних, що запитуються;

6) мета та/або правові підстави для запиту.

8.5. Строк вивчення запиту на предмет його задоволення не може перевищувати десяти робочих днів з дня його надходження.

Протягом цього строку володілець персональних даних доводить до відома особи, яка подає запит, що запит буде задоволено або відповідні персональні дані не підлягають наданню, із зазначенням підстави, визначеної у відповідному нормативно-правовому акті.

Запит задовольняється протягом тридцяти календарних днів з дня його надходження, якщо інше не передбачено законом.

8.6. Суб’єкт персональних даних має право на одержання будь-яких відомостей про себе у будь-якого суб’єкта відносин, пов’язаних з персональними даними, за умови надання інформації, визначеної у пункті 8.4. цього Положення, крім випадків, установлених законом № 2297.

  1. Захист персональних даних при їх обробці
    • Захист персональних даних працівників в Автоматизованій системі
      • Право доступу до Автоматизованої системи надається працівникам Клініки, в посадових інструкціях яких передбачено функції з обробки даних в Автоматизованій системі.
      • Працівники Клініки допускаються до обробки персональних даних в Автоматизованій системі лише після їх ідентифікації (логін, пароль).
      • Доступ осіб, які не пройшли процедуру ідентифікації, блокується.
      • Автоматизована система в обов’язковому порядку забезпечується антивірусним захистом та засобами безперебійного живлення елементів системи. Відповідні заходи забезпечує адміністратор системи.
      • При переведення на іншу посаду, яка не передбачає обробки персональних даних, або звільненні працівника, який мав право на обробку персональних даних в Автоматизованій системі, його ідентифікаційні дані (логін, пароль) вилучаються з системи.
    • Захист персональних даних у формі картотек
      • Відповідальна особа забезпечує захист персональних даних у формі картотек (на паперових носіях) від несанкціонованого доступу.
      • До роботи з картотеками персональних даних допускаються лише працівники, у посадових інструкціях яких передбачено відповідні функції.
      • Двері у приміщення, де зберігаються картотеки персональних даних, обладнуються замками.
      • Картотеки зберігаються у шафах і сейфах, що надійно зачиняються (з урахуванням вимог нормативно-правових актів, що регламентують ведення відповідних картотек).

 

 

 

Директор

ТОВ «ХЕЛСІ ЕНД ХЕПІ»                                                                                          Володимир КРАСІЙ

 

 

Заступник директора з управлінням персоналом

ТОВ «ХЕЛСІ ЕНД ХЕПІ»                                                                                           Ігор СТАРІКОВ

  • Напрямки
  • Меню

Запис на прийом

* Поля обов'язкові для заповнення
Дякуємо! Ваші дані успішно відправлені.