8 (4852) 205 - 105       +7910 810 55 22
Режим: Пн-Сб 09:00 - 20:00    г.Ярославль, Радищева 10\12, офис 9
Телемедицина
Записаться
 
Записаться
Обратный звонок
Консультации специалистов, Анализы и Обследование
Единичные консультации для подбора лечения и программ оздоровления в т.ч. Онлайн
Программы здоровья и долголетия
Подберите подходящую программу здоровья и долголетия или доверьте это специалисту
Акции и подарки
Для каждого есть лучшее предложение. Воспользуйтесь!
Пациентам
Полезная информация для оценки своего состояния, самостоятельной помощи, осведомленности
О нас
Контакты, график работы, местоположение, анкета посетителя, обращение к директору и т.д.
PSYDI CLINIC

ПОЛИТИКА ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

В соответствии с Федеральным законом "О персональных данных" от 27.07.2006 N 152-ФЗ

ПОЛОЖЕНИЕ

об обработке, хранении, защите и использовании персональных данных пациентов

Общества с Ограниченной Ответственностью «ПсиДи Клиник»

( в дальнейшем – Организация)


В соответствии с ч. 4 ст. 22 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» и приказа №81 от 19.06.2023г. Федеральной Службы по надзору в сфере связи, информационных технологий и массовых коммуникаций Роскомнадзора по Ярославской области о внесении в Реестр операторов осуществляющих обработку персональных данных, под регистрационным номером 76-23-007570.

1. ОБЩИЕ ПОЛОЖЕНИЯ
1.1.1. Настоящее Положение устанавливает порядок получения, учета, обработки, накопления, хранения документов, содержащих сведения, отнесенные к персональным данным граждан, обращающихся за получением медицинской помощи, медико-социальных услуг (далее – пациентов) в Общество с Ограниченной Ответственностью «ПсиДи Клиник» (далее – Организация).
1.1.2. Цель настоящего Положения – защита персональных данных пациентов, обращающихся в Организацию от несанкционированного доступа и разглашения. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией.
- обработка персональных данных осуществляется с согласия субъекта на обработку персональных данных
- обработка персональных данных осуществляется для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно
- обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну.
- в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну;
- обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством.
- защита персональных данных пациентов Организации от несанкционированного доступа и разглашения, персональные данные всегда являются конфиденциальной, строго охраняемой информацией.
1.1.3. Основанием для разработки настоящего Положения являются:
- Конституция Российской Федерации,
- Указа Президента РФ от 01.05.2022г. №250 о не разглашении сведений , относящихся к персональным данным
- Федеральный закон №149 от 27.07.2006 г. об информации, информационных технологиях и о защите информации
- Федеральный закон РФ №152 от 27.07.2006г. О персональных данных.
И иные нормативные и распорядительные акты.
1.1.4. Настоящее Положение и изменения к нему утверждаются приказом генерального директора Организации.
1.1.5. Должности, ответственные за сбор, хранение персональных данных - врачи, средний медицинский персонал, администраторы Организации.
1.1.6. Настоящее Положение и изменения к нему утверждаются генеральным директором Организации и вводятся приказом по Организации. Все сотрудники проводящие работу с персональными данными пациентов Организации должны быть ознакомлены под роспись с данным Положением и изменениями к нему.

2. ПОНЯТИЕ И СОСТАВ ПЕРСОНАЛЬНЫХ ДАННЫХ
2.1.1. Персональными данными является любая информация, прямо или косвенно относящаяся к субъекту персональных данных - определенному или определяемому физическому лицу.
2.1.2. Персональные данные являются строго конфиденциальными, любые лица, получившие к ним доступ, обязаны хранить эти данные в тайне в течение установленного законом срока, за исключением данных, относящихся к следующим категориям:
- обезличенные персональные данные – данные, в отношении которых невозможно определить их принадлежность конкретному физическому лицу;
- общедоступные персональные данные;
2.1.3. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении соответствующего срока хранения.
2.1.4. В категории персональных данных пациента входят сведения, необходимые для выполнения функций Организации:
- фамилия, имя, отчество ( при наличии);
- пол;
- дата рождения;
- адрес места жительства и регистрации;
- реквизиты документа, удостоверяющего личность;
- номер страхового свидетельства государственного пенсионного страхования;
- реквизиты полиса медицинского страхования;
- сведения о случаях обращения за медицинской помощью;
- данные о состоянии здоровья;
- биометрические данные (физиологические и поведенческие);
- о составе семьи;
- о социальном, семейном и имущественном положении;
- сведения о социальных льготах;
- вид оказанной медицинской помощи;
- условия оказания медицинской помощи;
- сроки оказания медицинской помощи;
- объем оказанной медицинской помощи, включая сведения об оказанных медицинских услугах;
- результат обращения за медицинской помощью;
- серия и номер выданного листка нетрудоспособности (при наличии);
- сведения о проведенных медицинских экспертизах, медицинских осмотрах и медицинских освидетельствованиях и их результаты ( при наличии);
- результаты медицинского обследования пациента;
- данные изображения лица, полученные с фото — видео устройств, позволяющие установить личность субъекта персональных данных;
- иные персональные данные (прочие сведения, которые могут идентифицировать человека.
Из указанного списка Организация вправе получать и использовать только те сведения, которые характеризуют гражданина как пациента Организации.
2.1.5. Данные документы являются конфиденциальными. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении 20 лет срока хранения, если иное не определено законом.
2.1.6. Категории субъектов персональных данных, чьи персональные данные обрабатываются — относят все категории субъектов персональных данных.

3. ОБЯЗАННОСТИ ОРГАНИЗАЦИИ
3.1. В целях обеспечения прав и свобод человека и гражданина Организация при обработке персональных данных пациента обязана соблюдать следующие общие требования:
3.1.1. Обработка персональных данных пациента может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия оказания медицинских услуг пациенту, обеспечения личной безопасности пациента, контроля количества и качества выполняемой услуг и обеспечения сохранности здоровья пациента.
3.1.2. При определении объема и содержания обрабатываемых персональных данных пациента сотрудники Организации должны руководствоваться Конституцией Российской Федерации и иными федеральными законами.
3.1.3. Все персональные данные пациента следует получать у него самого, или у опекуна или попечителя пациента, при наличии подтверждающих документов. Сотрудники Организации должны сообщить пациенту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных, а также о последствиях отказа пациента дать письменное согласие на их получение.
3.1.4. Сотрудники Организации не имеет права получать и обрабатывать персональные данные пациента о его политических, религиозных и иных убеждениях и частной жизни.
3.1.5. Сотрудники Организации не имеет права получать и обрабатывать персональные данные пациента о его членстве в общественных объединениях или его профсоюзной деятельности, за исключением случаев, предусмотренных федеральным законом.
3.1.6. При принятии решений, затрагивающих интересы пациента, сотрудники Организации не имеет права основываться на персональных данных пациента, полученных исключительно в результате их автоматизированной обработки или электронного получения.
3.1.7. Защита персональных данных пациента от неправомерного их использования или утраты должна быть обеспечена сотрудниками Организации в порядке, установленном федеральным законом.
3.1.8. Пациенты Организации должны быть ознакомлены под роспись с документами по обработке персональных данных, с подтверждением правильности указанных данных.
3.1.9. Пациенты Организации не должны отказываться от своих прав на сохранение и защиту тайны.
3.1.10 Положение по обработке персональных данных должно быть в общем доступе на стенде Организации, а также на официальном сайте Организации в сети Интернет.

4. ОБЯЗАННОСТИ И ПРАВА ПАЦИЕНТА
4.1.1. Пациент обязан передавать Организации или комплекс достоверных, документированных персональных данных, состав которых установлен настоящим Положением и договорными обязательствами, взятыми на себя сторонами по договору между пациентом и Организацией.
4.1.2. Пациент должен без неоправданной задержки сообщать Организации об изменении своих персональных данных.
4.1.3. Пациент имеет право на получение сведений об Организации, о ее местонахождении, о наличии у Организации персональных данных, относящихся к пациенту, а также на ознакомление с такими персональными данными. Пациент вправе требовать от Организации уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
4.1.4. Доступ пациента к своим персональным данным предоставляется на основании письменного запроса пациента на имя генерального директора Организации. Запрос должен содержать номер основного документа, удостоверяющего личность пациента или его законного представителя, сведения о дате выдачи указанного документа и выдавшем его органе и собственноручную подпись пациента или его законного представителя.
4.1.5. Сведения о наличии персональных данных должны быть предоставлены пациенту в доступной форме, в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных.
4.1.6. Пациент имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
– подтверждение факта обработки персональных данных Организацией, а также цель такой обработки;
– способы обработки персональных данных, применяемые Организацией;
– сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
– перечень обрабатываемых персональных данных и источник их получения;
– сроки обработки персональных данных, в том числе сроки их хранения;
– сведения о том, какие юридические последствия для пациента может повлечь обработка его персональных данных.
4.1.7. Пациент имеет право отозвать согласие на обработку персональных данных, ограничить способы и формы обработки персональных данных, запретить распространение персональных данных без его согласия. Отзыв пациентом согласия на обработку персональных данных о здоровье не влечет прекращения обработки персональных данных в силу части 2 статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ.
4.1.8. Пациент вправе обжаловать действия или бездействие Организации в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
4.1.9. Пациент имеет право на защиту своих прав и законных интересов, в том числе на возмещение убытков и компенсацию морального вреда в судебном порядке.

5. РАБОТА С ПЕРСОНАЛЬНЫХ ДАННЫХ
5.1. При получении персональных данных сотрудник Организации должен соблюдать следующие требования:
5.1.1. Персональные данные пациентов, полученные при заключении договора на медицинские услуги, обрабатываются только в целях предоставления качественной медицинской помощи, проведения оценки качества оказываемых услуг, в целях обеспечения оплаты лечения пациентов.
5.1.2. Организация обеспечивает конфиденциальность персональных данных пациентов и обязана не допускать их распространения без согласия пациентов либо наличия иного законного основания.
5.1.3. Все меры конфиденциальности при сборе, обработке и хранении персональных данных пациента распространяются как на бумажные, так и на электронные (автоматизированные) носители информации.
5.1.4 Организация получает персональные данные непосредственно от субъекта персональных данных – пациента на основании заключения с пациентом письменного договора на оказание медицинских услуг.
5.1.5 Согласие на обработку персональных данных пациентов берется Организацией с целью намерений соблюдения конфиденциальности, а также с целью предупреждения о тех случаях, когда информация о здоровье пациента может быть передана третьим лицам без его согласия.
5.1.6 Персональные данные пациента обрабатываются Организацией исключительно для достижения целей, определенных письменным договором между пациентом и Организацией, в частности, для оказания медицинских услуг пациенту.
5.1.7. Обработка персональных данных пациента ведется методом смешанной (в том числе автоматизированной) обработки.
5.1.8. К обработке персональных данных пациента могут иметь доступ только сотрудники Организации, допущенные к работе с персональными данными пациента.
5.1.9. Отзыв пациентом согласия на обработку персональных данных о здоровье не влечет прекращения обработки персональных данных в силу части 2 статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ.
5.1.10. Передачу персональных данных пациента Организация производит исключительно для достижения целей, определенных письменными договорами между пациентом и Организацией, в частности, для оплаты медицинских услуг.
5.1.11. Без согласия пациента персональные данные о состоянии его здоровья могут быть переданы в случаях, прямо предусмотренных статьей 13 Федерального закона от 21.11.2011 № 323-ФЗ, в случае возникновения угрозы распространения инфекционных заболеваний (гепатиты, ВИЧ, сифилис, ОРИ, туберкулез), о чем пациент уведомляется в согласии на обработку его персональных данных.
5.1.12. Персональные данные пациентов могут храниться как на бумажных носителях, так и в электронном виде.
5.1.13. Персональные данные пациентов на бумажных носителях, если с них не снят на законном основании режим конфиденциальности, хранятся в специально отведенных шкафах. Ключи от шкафов хранятся лично у администратора Организации, допущенной к обработке персональных данных пациентов.
5.1.14. Персональные данные пациентов также хранятся в электронном виде – в локальной компьютерной сети Организации, в базах данных, каталогах и файлах, размещенных на серверах Организации, доступ к которым разрешен сотрудникам, допущенным к обработке персональных данных пациентов.
5.1.15. При передаче персональных данных пациента Организация должна соблюдать следующие требования:
– не сообщать персональные данные пациента третьей стороне без письменного согласия пациента, за исключением случаев, установленных федеральным законом;
– не сообщать персональные данные пациента в коммерческих целях без его письменного согласия;
– предупредить лиц, получающих персональные данные пациента о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено;
– разрешать доступ к персональным данным пациентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные пациентов, которые необходимы для выполнения конкретных функций.
5.1.16. Администратор Организации должен сообщить пациенту о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа пациента дать письменное согласие на их получение.
5.1.17. Пациент должен представлять сотруднику Организации достоверные сведения о себе. Сотрудник Организации проверяет достоверность сведений, сверяя данные, представленные пациентом, с имеющимися у пациента документами. Представление пациентом подложных документов или ложных сведений при поступлении на обращении в Организацию для получения медицинской услуги является основанием для отказа в принятии документов пациента. После оформления текущей документации, администратор предоставляет в печатной форме согласие на обработку персональных данных, которое пациент после проверки подписывает.

6.ПРАВА И ОБЯЗАННОСТИ ОРГАНИЗАЦИИ ПРИ ОБРАБОТКЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕНТА.
6.1.1. В целях обеспечения прав и свобод человека и гражданина Организации и ее сотрудники при обработке персональных данных пациента, обязаны соблюдать следующие общие требования:
– при определении объема и содержания персональных данных пациента, подлежащих обработке, руководствоваться федеральными законами от 27.07.2006 № 152-ФЗ и от 21.11.2011 № 323-ФЗ, а также договорными обязательствами, взятыми на себя сторонами по договору между пациентом и Организацией;
– не получать и не обрабатывать персональные данные пациента о его судимости, политических, религиозных и иных убеждениях и частной жизни.
6.1.2. Организация должна обеспечить защиту персональных данных пациента от неправомерного их использования или утраты за собственный счет в порядке, установленном федеральным законодательством.
6.1.3. Организация обязана сообщить пациенту информацию о наличии персональных данных о нем, а также предоставить возможность ознакомиться с ними:
– в течение трех рабочих дней с момента обращения (подачи запроса), если речь идет о предоставлении медицинской справки или медицинского заключения;
– пяти рабочих дней с момента обращения (подачи запроса), если речь идет о предоставлении информации в виде копии медицинской карты.
6.1.4. Все сотрудники, связанные с получением, обработкой и защитой персональных данных пациентов, обязаны подписать уведомление-обязательство о неразглашении персональных данных пациентов (Приложение 1).
Процедура оформления доступа к персональным данным пациента включает:
– ознакомление сотрудника под подпись с настоящим Положением. При наличии иных нормативных актов (приказов, распоряжений, инструкций), регулирующих обработку и защиту персональных данных пациента, с данными актами также производится ознакомление под подпись;
– уведомление сотрудника о факте обработки персональных данных;
– истребование с сотрудника (за исключением директора) письменного обязательства о соблюдении конфиденциальности персональных данных пациента и соблюдении правил их обработки. Обязательство готовят по установленной форме (приложение 1).
6.1.5. Сотрудник Организации, имеющий доступ к персональным данным пациентов в связи с исполнением трудовых обязанностей:
– обеспечивает хранение информации, содержащей персональные данные пациента, исключающее доступ к ним третьих лиц;
– не оставляет на рабочем месте документы, содержащие персональные данные пациента;
– при уходе в отпуск, во время служебной командировки и в иных случаях длительного отсутствия передает документы и иные носители, содержащие персональные данные пациенту, директору Организации.
6.1.6. Допуск к персональным данным пациента других сотрудников Организации, не имеющих надлежащим образом оформленного доступа, запрещается.

7. СИСТЕМА МЕР ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ.
7.1.1. Общую организацию защиты персональных данных пациентов осуществляет директор Организации.
7.1.2. Защиту персональных данных, хранящихся в электронных носителях, защищенных паролем доступа, к специализированной программе ( при личном доступе с помощью пароля) базах данных клиники, от несанкционированного доступа, искажения и уничтожения информации, а также от иных неправомерных действий обеспечивает специалист IT, находящийся в штате предприятия либо оказывающий услуги на основании договора подряда.
7.1.2. Система мер защиты персональных данных в зависимости от типа угроз включает в себя:
Наименование угрозы Меры по противодействию угрозе Технические Организационные
1. конкуренты конкретной компании, желающие нанести ей ущерб избежать неправомерного доступа к данным как со стороны внешних посягателей, так и со стороны инсайдеров. разработка соглашений с третьими лицами, согласно которым им поручается обработка данных с внедрением в них мер ответственности и норм о возмещении возможного ущерба;
2. международные кибертеррористические организации, заинтересованные в утечках персональных данных в целях обеспечения собственного пиара предотвратить утечку данных по техническим каналам определение актуальной модели угроз с учетом анализа внешних и внутренних факторов;
3. инсайдеры, сотрудники компании, руководствующиеся своими целями или действующие по чужим поручениям. ранжирование лиц, имеющих разные степени допуска к конфиденциальным данным, подписание с ними соглашений о соблюдении коммерческой тайны;
Помимо организационно-технических мер Организации принимает правовые меры для защиты персональных данных, а именно издает локальные правовые акты, направленные на регулирование обработки персональных данных в рамках Организации:
– Положение об обработке персональных данных в организации;
– Политика в отношении обработки персональных данных в организации;
– Приказ о назначении ответственного за обработку персональных данных;
– Приказ об утверждении перечня обрабатываемых персональных данных;
– Приказ о допуске сотрудников к обработке персональных данных;
– Приказ об обработке персональных данных без использования средств автоматизации;
– Приказ о разработке комплекса организационно-технических мер по защите персональных данных с использованием средств автоматизации;
– Приказ о форме запросов субъектов персональных данных;
– Приказ о компенсационных мерах по защите персональных данных и др.

8. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ.
8.1.1. Организация несет ответственность за разработку, введение и действенность соответствующих требованиям законодательства норм, регламентирующих получение, обработку и защиту персональных данных пациента и сотрудников. Организация закрепляет персональную ответственность сотрудников за соблюдение установленного в организации режима конфиденциальности.
8.1.2. Руководитель, разрешающий доступ сотрудника к документам, содержащим персональные данные пациента, несет персональную ответственность за данное разрешении.
8.1.3. Каждый сотрудник Организации, получающий для работы документ, содержащий персональные данные пациента, несет единоличную ответственность за сохранность носителя и конфиденциальность информации.
8.1.4. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных пациента, несут дисциплинарную, административную, гражданско-правовую или уголовную ответственность в соответствии с федеральными законами:
– статьи 150, 151 Гражданского кодекса – гражданско-правовая ответственность;
– статья 13.14 КоАП – административная ответственность;
– статья 137 Уголовного кодекса – уголовная ответственность.
8.1.5. За неисполнение или ненадлежащее исполнение сотрудником по его вине возложенных на него обязанностей по соблюдению установленного порядка обработки персональных данных пациентов Организации вправе применять предусмотренные Трудовым кодексом дисциплинарные взыскания, в том числе увольнение на основании подпункта «в» пункта 6 статьи 81 Трудового кодекса за разглашение персональных данных другого работника.
8.1.6. Заключительные положения Настоящее Положение вступает в силу с момента издания приказа директора Организации о введении Положения в силу и обязательно для ознакомления, соблюдения и исполнения всеми сотрудниками организации.


Актуальная версия Политики в свободном доступе расположена в сети Интернет по адресу https://psydi.ru/personal_data.