+38 044 501 02 03
Network Network
ru
  • UA
  • ru

Положение об обработке и защите персональных данных пациентов

  1. Общие положения
    • Положение об обработке и защите персональных данных пациентов (далее — Положение) определяет комплекс организационных и технических мероприятий для обеспечения защиты персональных данных пациентов при обработке.
    • Положение разработано на основании Конституции Украины , Закона Украины «О защите персональных данных» от 01.06.2010 № 2297-VI с изменениями (далее – Закон № 2297), других законов и подзаконных нормативно-правовых актов Украины.
    • Положение обязательно для выполнения работниками Клиники, которые имеют доступ к персональным данным пациентов и обрабатывают персональные данные.

Все термины в настоящем Положении определяются в соответствии с Законом № 2297, а именно:

база персональных данных – именуемая совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных;

владелец персональных данных – физическое или юридическое лицо, определяющее цель обработки персональных данных, устанавливает состав этих данных и процедуры их обработки, если иное не определено законом;

согласие субъекта персональных данных – добровольное волеизъявление физического лица (при условии его осведомленности) о предоставлении разрешения на обработку его персональных данных в соответствии с сформулированной цели их обработки, выраженное в письменной форме или в форме, позволяющей сделать вывод о предоставлении согласия. В сфере электронной коммерции согласие субъекта персональных данных может быть предоставлено при регистрации в информационно-коммуникационной системе субъекта электронной коммерции путем проставления отметки о предоставлении разрешения на обработку своих персональных данных согласно сформулированной цели их обработки при условии, что такая система не создает возможностей обработки персональных данных к моменту проставления отметки;

обезличивание персональных данных – извлечение сведений, позволяющих прямо или косвенно идентифицировать личность;

картотека – любые структурированные персональные данные, доступные по определенным критериям, независимо от того, централизованы, децентрализованы или разделены по функциональным или географическим принципам;

обработка персональных данных – любое действие или совокупность действий, таких как сбор, регистрация, накопление, хранение, адаптирование, изменение, обновление, использование и распространение (распространение, реализация, передача), обезличивание, уничтожение персональных данных, в том числе с использованием информационных (автоматизированных) систем;

получатель – физическое или юридическое лицо, которому предоставляются персональные данные, в том числе третье лицо;

персональные данные – сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано;

распорядитель персональных данных – физическое или юридическое лицо, которому владельцем персональных данных или законом предоставлено право обрабатывать эти данные от имени владельца;

субъект персональных данных – физическое лицо, персональные данные которого обрабатываются;

третье лицо – любое лицо, за исключением субъекта персональных данных, владельца или распорядителя персональных данных и Уполномоченного Верховной Рады Украины по правам человека, которому владельцем или распорядителем персональных данных осуществляется передача персональных данных.

  • К персональным данным работника относятся любые сведения или совокупность сведений пациента, по которым он идентифицируется или может быть конкретно идентифицирован.
  • Персональные данные пациентов представляют собой информацию с ограниченным доступом.
  • Персональные данные пациентов обрабатываются в базе персональных данных «База персональных данных пациентов» (далее – «База персональных данных пациентов»), владельцем которой является Клиника.
  • Распорядителем Базы персональных данных пациентов Клиника.
  • База персональных данных пациентов регистрируется в соответствии со ст. 9 Закона №2297.
  • Персональные данные в базе персональных данных пациентов обрабатываются на бумажных носителях и с помощью информационных (автоматизированных) систем.
  • Под обработкой персональных данных пациентов понимается любое действие или совокупность действий, таких как сбор, регистрация, накопление, хранение, адаптирование, изменение, обновление, использование и распространение (распространение, реализация, передача), обезличивание, уничтожение персональных данных пациентов, в том числе числе с использованием информационных (автоматизированных) систем
  • База персональных данных сотрудников находится по регистрационному адресу Клиники.
  1. Цель обработки персональных данных
    • Обработка персональных данных в Базе персональных данных пациентов производится с целью обеспечения реализации медицинского обслуживания пациентов (в соответствии с Законом Украины «Основы Законодательства Украины о здравоохранении»). Данные обрабатываются медицинскими работниками или другими лицами Клиники (лицензия Минздрава серии АЭ №282859 от 24 октября 2013 г. на осуществление хозяйственной деятельности по медицинской практике), на которых возложены обязанности по обеспечению защиты персональных данных пациентов и/или распространяется действие законодательства о врачебной тайне.
  2. Состав персональных данных в базе персональных данных пациентов
    • Состав и содержание персональных данных пациентов должны быть соответствующими, адекватными и нечрезмерными по отношению к определенной цели их обработки.
    • Персональные данные должны быть точными, достоверными и обновляться при необходимости, определенной целью их обработки.
    • Первичными источниками сведений о физическом лице являются: — выданные на его имя документы; подписанные ею документы; сведения, предоставляемые лицом о себе.
    • Обработка персональных данных производится для конкретных и законных целей, определенных с согласия субъекта персональных данных.
    • Персональные данные обрабатываются в форме, допускающей идентификацию физического лица, к которому они относятся, не дольше, чем это необходимо для законных целей, в которых они собирались или в дальнейшем обрабатывались.
    • В Клинике не обрабатываются сведения о расовом или этническом происхождении пациентов, их политические, религиозные или мировоззренческие убеждения, членство в политических партиях и профессиональных союзах, приговоры к уголовному наказанию, сведения, касающиеся половой жизни.
  3. Обязанности и права лица, ответственного за организацию работы, связанной с защитой персональных данных в Клинике
    • С учетом требований статьи 24 Закона № 2297 приказом директора Клиники назначается лицо, ответственное за организацию работы, связанной с защитой персональных данных в Клинике (далее — Ответственное лицо). Приказ сообщается Ответственному лицу под подпись.
    • Ответственное лицо:
      • Обеспечивает:
    • организацию обработки персональных данных пациентов работниками Клиники в соответствии с их должностными обязанностями в объеме, необходимом для выполнения таких обязанностей;
    • анализ процессов обработки персональных данных пациентов в соответствии с основными задачами и функциями Клиники, в т.ч. лиц, и приведение перечня персональных данных в соответствие с определенными целями и правовыми основаниями их обработки;
    • определение баз персональных данных;
    • представление заявлений и сообщений об обработке персональных данных (при необходимости);
    • ознакомление руководителей структурных подразделений и работников Клиники с требованиями законодательства о защите персональных данных и изменениями к нему, в частности по обязательству не допускать разглашения любым способом персональных данных, которые были доверены или стали известны в связи с исполнением должностных обязанностей. ;
    • организацию обработки запросов третьих лиц о доступе к персональным данным пациентов.
      • Содействует доступу субъектов персональных данных к собственным персональным данным.
      • При необходимости готовит проекты изменений и дополнений к настоящему Положению, представляет указанные проекты на рассмотрение директору Клиники.
      • Информирует директора Клиники о мерах, которые необходимо принять для приведения состава персональных данных и процедур их обработки в соответствие с законом.
      • Информирует директора Клиники о нарушении установленных процедур обработки персональных данных.
    • Ответственное лицо имеет право:
      • Проверять состояние соблюдения работниками Клиники законодательства в сфере защиты персональных данных и выполнения требований этого Положения, участвовать в служебных расследованиях по нарушениям порядка обработки и защиты персональных данных.
      • Вносить директору Клиники предложения о разграничении режима доступа работников к обработке персональных данных в соответствии с их должностными обязанностями.
      • Рассматривать требования пациентов по возражению против обработки их персональных данных.
  1. Права и обязанности пациента как субъекта персональных данных

Согласно Закону № 2297 пациент Клиники как физическое лицо, в отношении которого осуществляется обработка его персональных данных:

  • Является субъектом персональных данных и имеет право:

– знать об источниках сбора, местонахождении своих персональных данных, цели их обработки, местонахождении владельца или распорядителя персональных данных или дать соответствующее поручение по получению этой информации уполномоченным им лицам, кроме случаев, установленных законом;

– получать информацию об условиях предоставления доступа к персональным данным, в частности информацию о третьих лицах, которым передаются его персональные данные;

– на доступ к своим персональным данным;

– получать не позднее чем через тридцать календарных дней со дня поступления запроса, кроме случаев, предусмотренных законом, ответ о том, обрабатываются ли его персональные данные, а также получать содержание таких персональных данных;

– предъявлять мотивированное требование владельцу персональных данных с возражением против обработки своих персональных данных;

– предъявлять мотивированное требование об изменении или уничтожении своих персональных данных любым владельцем и распорядителем персональных данных, если эти данные обрабатываются незаконно или недостоверны;

– в защиту своих персональных данных от незаконной обработки и случайной потери, уничтожения, повреждения в связи с умышленным сокрытием, непредоставлением или несвоевременным их предоставлением, а также в защиту от предоставления сведений, недостоверных или порочащих честь, достоинство и деловую репутацию физической лица;

– обращаться с жалобами на обработку своих персональных данных в Уполномоченный или в суд;

– применять средства правовой защиты в случае нарушения законодательства о защите персональных данных;

– вносить оговорки относительно ограничения права на обработку своих персональных данных при предоставлении согласия;

– отозвать согласие на обработку персональных данных;

– знать механизм автоматической обработки персональных данных;

– в защиту от автоматизированного решения, имеющего для него правовые последствия.

  1. Обязанности работников Клиники, обрабатывающие персональные данные

Работники Клиники, обрабатывающие персональные данные:

  • Должны быть осведомлены о требованиях Закона № 2297 и других нормативно-правовых актов в сфере защиты персональных данных.
  • Обязаны
    • Предотвращать утрату персональных данных или их неправомерное использование;
    • Не разглашать персональные данные, доверенные им или ставшие известными в связи с исполнением должностных обязанностей, при этом такое обязательство действует после прекращения ими деятельности, связанной с персональными данными, кроме случаев, установленных Законом № 2297 ;
    • Срочно уведомлять Ответственное лицо в случае
  • потери или непреднамеренного уничтожения носителей информации по персональным данным;
  • потери ими ключей от помещений, сейфов, шкафов, где хранятся персональные данные;
  • если идентификационные данные для входа в информационную систему стали известны другим лицам;
  • выявление попытки несанкционированного доступа к персональным данным пациентов.
    • При увольнении с работы или переводе на другую должность своевременно передать руководителю структурного подразделения или другому работнику, определенному руководством Клиники, носители информации, содержащие сведения о персональных данных, полученных или созданных лично или совместно с другими работниками при исполнении должностных обязанностей .
  1. Порядок получения согласия на обработку персональных данных пациента, сбор персональных данных пациента хранение и уничтожение персональных данных пациента использование персональных данных пациента работниками Клиники, учет нарушений режима защиты персональных данных пациента
    • Порядок получения согласия на обработку персональных данных пациента
      • Согласие субъекта персональных данных должно быть добровольным волеизъявлением физического лица о предоставлении разрешения на обработку его персональных данных в соответствии со сформулированной целью их обработки. Согласие субъекта персональных данных может быть предоставлено в следующих формах:
    • документ на бумажном носителе с реквизитами, позволяющий идентифицировать этот документ и физическое лицо;
    • электронный документ, содержащий обязательные реквизиты, позволяющие идентифицировать этот документ и физическое лицо. Добровольное волеизъявление физического лица о предоставлении разрешения на обработку его персональных данных целесообразно удостоверять электронной подписью субъекта персональных данных.
    • отметка на электронной странице документа или электронном файле, обрабатываемом в информационной системе на основе документированных программно-технических решений.
      • Сбор персональных данных пациента
        • Сбор персональных данных является составной частью процесса их обработки, предусматривающей действия по подбору или упорядочению сведений о физическом лице.
        • Субъект персональных данных сообщается о владельце персональных данных, составе и содержании собранных персональных данных, своих правах, определенных Законом № 2297, цели сбора персональных данных и лиц, которым передаются его персональные данные в момент сбора персональных данных у субъекта персональных данных.
      • Хранение и уничтожение персональных данных пациента
        • Накопление персональных данных предусматривает действия по сочетанию и систематизации сведений о физическом лице и внесении данных в базу персональных данных.
        • Хранение персональных данных предусматривает действия по обеспечению их целостности и соответствующего режима доступа к ним.
        • Уничтожение персональных данных осуществляется способом, исключающим дальнейшую возможность обновления таких персональных данных пациента, в порядке, определенном Законом № 2297.
      • Использование персональных данных работниками Клиники
        • Использование персональных данных предусматривает любые действия Клиники по обработке этих данных, действия по их защите, а также действия по предоставлению частичного или полного права обработки персональных данных другим субъектам отношений, связанных с персональными данными, осуществляемыми по согласию персональных данных или в соответствии с Законом № 2297. Использование персональных данных Клиникой осуществляется в случае создания ею условий для защиты этих данных. Клинике запрещается разглашать сведения о субъектах персональных данных, доступ к персональным данным которых предоставляется другим субъектам отношений, связанных с такими данными.
        • Использование персональных данных работниками субъектов отношений, связанных с персональными данными, должно производиться только в соответствии с их профессиональными или служебными или трудовыми обязанностями. Эти работники обязаны не допускать разглашения любым способом персональных данных, которые им были доверены или стали известны в связи с исполнением профессиональных или служебных или трудовых обязанностей, кроме случаев, предусмотренных законом. Такое обязательство действует после прекращения ими деятельности, связанной с персональными данными, кроме случаев, установленных Законом №2297.
        • Сведения о личной жизни физического лица не могут использоваться как фактор, подтверждающий или опровергающий его деловые качества.
        • Если лицо, которое является резидентом Действия Сити в соответствии с  Законом Украины «О стимулировании развития цифровой экономики в Украине», выступает субъектом отношений, связанных с персональными данными, использование таких персональных данных гиг-специалистами резидента Дея Сити должно осуществляться только в соответствии с их обязанностей по гиг-контрактам. Эти гиг-специалисты обязаны не допускать разглашения любым способом персональных данных, которые им были вверены или ставшие им известны в связи с исполнением обязанностей по гиг-контракту, кроме случаев, предусмотренных законом. Такое обязательство действует после прекращения ими деятельности, связанной с персональными данными, кроме случаев, установленных Законом № 2297.
      • Учет нарушений режима защиты персональных данных
        • Факты нарушений режима защиты персональных данных фиксируются актами, которые составляет ответственное лицо.
        • По необходимости по фактам нарушений режима защиты персональных данных директором Клиники назначается служебное расследование.
        • По результатам служебного расследования на работников, виновных в нарушениях, могут быть наложены дисциплинарные взыскания.
  1. Порядок доступа к персональным данным пациента

8.1. Порядок доступа к персональным данным третьих лиц определяется условиями согласия субъекта персональных данных на обработку данных, предоставленной владельцу персональных данных, или в соответствии с требованиями закона.

8.2. Доступ к персональным данным третьему лицу не предоставляется, если указанное лицо отказывается взять на себя обязательство по обеспечению выполнения требований настоящего Закона № 2297 или не может их обеспечить.

8.3. Субъект отношений, связанных с персональными данными, подает запрос о доступе (далее – запрос) к персональным данным владельцу персональных данных.

8.4. В запросе указываются:

1) фамилия, имя и отчество, место жительства (место пребывания) и реквизиты документа, удостоверяющего физическое лицо, подающее запрос (для физического лица – заявителя);

2) наименование, местонахождение юридического лица, подающего запрос, должность, фамилию, имя и отчество лица, удостоверяющего запрос; подтверждение того, что содержание запроса соответствует полномочиям юридического лица (для юридического лица – заявителя);

3) фамилию, имя и отчество, а также другие сведения, позволяющие идентифицировать физическое лицо, в отношении которого делается запрос;

4) сведения о базе персональных данных, в отношении которой подается запрос, или сведения о владельце или распорядителе персональных данных;

5) перечень запрашиваемых персональных данных;

6) цель и/или правовые основания по запросу.

8.5. Срок изучения запроса на предмет его удовлетворения не может превышать десяти рабочих дней со дня поступления.

В течение этого срока владелец персональных данных сообщает лицу, подающему запрос, что запрос будет удовлетворен или соответствующие персональные данные не подлежат предоставлению, с указанием основания, определенного в соответствующем нормативно-правовом акте.

Запрос удовлетворяется в течение тридцати календарных дней со дня его поступления, если иное не предусмотрено законом.

8.6. Субъект персональных данных имеет право на получение каких-либо сведений о себе у любого субъекта отношений, связанных с персональными данными, при предоставлении информации, определенной в  пункте 8.4. настоящего Положения , кроме случаев, установленных законом №2297.

  1. Защита персональных данных при их обработке
    • Защита персональных данных работников в Автоматизированной системе
      • Право доступа к Автоматизированной системе предоставляется работникам Клиники, в должностных инструкциях которых предусмотрены функции обработки данных в Автоматизированной системе.
      • Работники Клиники допускаются к обработке персональных данных в Автоматизированной системе только после их идентификации (логин, пароль).
      • Доступ лиц, не прошедших процедуру идентификации, блокируется.
      • Автоматизированная система в обязательном порядке снабжается антивирусной защитой и средствами бесперебойного питания элементов системы. Подходящие меры обеспечивает администратор системы.
      • При переводе на другую должность, не предусматривающую обработки персональных данных, или увольнении работника, имевшего право на обработку персональных данных в Автоматизированной системе, его идентификационные данные (логин, пароль) изымаются из системы.
    • Защита персональных данных в форме картотек
      • Ответственное лицо обеспечивает защиту персональных данных в форме картотек (на бумажных носителях) от несанкционированного доступа.
      • К работе с картотеками персональных данных допускаются только работники, в должностных инструкциях которых предусмотрены соответствующие функции.
      • Двери в помещение, где хранятся картотеки персональных данных, оборудуются замками.
      • Картотеки хранятся в надежно закрываемых шкафах и сейфах (с учетом требований нормативно-правовых актов, регламентирующих ведение соответствующих картотек).

 

 

 

Директор

ООО «ХЕЛСИ ЭНД ХЭПИ» Владимир КРАСИЙ

 

 

Заместитель директора по управлению персоналом

ООО «ХЕЛСИ ЭНД ХЭПИ» Игорь СТАРИКОВ

  • Направления
  • Mеню

Запись на прием

* Поля обязательные для заполнения
Спасибо! Ваши данные успешно отправлены.