ПОЛОЖЕНИЕ об обработке и защите персональных данных пациентов

1. ОБЩИЕ ПОЛОЖЕНИЯ
   • Настоящее Положение об обработке и защите персональных данных паци­ентов Краевого государственного бюджетного учреждения здравоохранения «Красно­ярский межрайонный Родильный дом № 1» (далее КГБУЗ «КМРД № 1») разработано в соответствии с Конституцией Российской Федерации, Федеральным законом РФ № 323 от 11.2011г. «Об основах охраны здоровья граждан в Российской Федерации», Федеральными законами № 149-ФЗ от 27.07.2006 г. «Об информации, информацион­ных технологиях и защите информации», № 152-ФЗ от 27.07.2006 г. «О персональных данных», и другими правовыми актами Российской Федерации.
   • Настоящее Положение разработано в целях обеспечения защиты прав паци­ентов, обращающихся за медицинской помощью в КГБУЗ «КМРД № 1», при обработке их персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и врачебную тайну.
   • Настоящее Положение определяет порядок работы (получения, обработки, использования, хранения и т. д.) с персональными данными пациентов, гарантии конфи­денциальности полученных сведений.
2. ОСНОВНЫЕ ПОНЯТИЯ, ИСПОЛЬЗУЕМЫЕ В НАСТОЯЩЕМ ПОЛОЖЕ­НИИ
   • Персональные данные пациентов — любая информация, относящаяся к оп­ределенному или определяемому на основании такой информации субъекту персональ­ных данных — пациенту.

К персональным данным пациентов относится:

• фамилия, имя, отчество;
• дата и место рождения;
• адрес по прописке;
• адрес фактического проживания;
• контактный телефон;
• данные о состоянии здоровья (история болезни);
• паспортные данные и др. информация позволяющая идентифицировать че­ловека.
  • К персональным данным пациентов в КГБУЗ «КМРД № 1» и подлежащие обработке в порядке, предусмотренном действующим законодательством и настоящим положением относятся персонифицированные базы учетных данных пациентов по:
• пациентам, находившимся на стационарном и амбулаторном лечении;
• гражданам (по приемам врачами-специалистами);
• беременным и родильницам (отчетность по родовым сертификатам);

пациентам, обследованным на наследственные заболевания; пациентам, которым проведен аудиологический скрининг; привитым пациентам (планируемым привить);

пациентам, нуждающимся в высокотехнологической медицинской помощи; пациентам, обследованным скрининг мониторинговой системой (АКДО); застрахованным гражданам по ОМС в различных страховых компаниях; неработающим пенсионерам; иногородним пациентам; диспансеризации женщин;

региональным льготникам (на дополнительное лекарственное обеспечение отдельных категорий граждан по родовым сертификатам); учету детей, оставшихся без попечения родителей; другим перечням.

• Уполномоченные должностные лица — работники КГБУЗ «КМРД № 1», имеющие доступ к персональным данным пациентов.
• Обработка персональных данных — действия с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение, использование, рас­пространение (в том числе передачу), обезличивание, блокирование и уничтожение пер­сональных данных.
• Доступ к персональным данным — возможность получения персональных данных и их использование.
• Конфиденциальность персональных данных — обязательное для соблюде­ния получившим доступ к персональным данным лицом требование, не допускать их распространение без согласия пациента или наличия иного законного основания.
• Не требуется обеспечения конфиденциальности персональных данных:

• в случае обезличивания персональных данных;
• в отношении общедоступных персональных данных.

3. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕНТОВ
   • Получение персональных данных.
     • Все персональные данные следует получать лично у пациента (законного представителя). Если персональные данные возможно получить только у третьего лица, то пациент (законный представитель) должен быть уведомлен об этом заранее и от него должно быть получено его письменное согласие.
     • Пациент представляет уполномоченному должностному лицу достоверные сведения о себе. Уполномоченное должностное лицо проверяет достоверность сведений, сверяя данные, представленные пациентом, с имеющимися документами.
     • Пациенту (законному представителю) должно быть сообщено о целях, предполагаемых источниках и способах получения персональных данных, а также о ха­рактере подлежащих получению данных и последствиях отказа пациента дать письмен­ное согласие на их получение.
     • При оформлении медицинской документации пациентов в соответствии с действующими нормативными актами, необходимо получение добровольного письмен­ного согласия пациентов (законных представителей) на обработку, в том числе передачу их персональных данных, информирование пациентов по их запросам, о способах и сро­ках обработки и хранения их персональных данных, а также лицах, имеющих к ним дос­туп.
     • Уполномоченное должностное лицо не имеет право получать и обрабаты­вать персональные данные пациента о его политических, религиозных и иных убежде­ниях, частной жизни, а так же о его членстве в общественных объединениях или о его профсоюзной деятельности без письменного согласия.

3.2. Хранение персональных данных.

• Медицинская документация пациентов (амбулаторные карты, истории бо­лезни, родов, новорожденных, списки различных групп пациентов и другие медицин­ские документы) хранятся в бумажном виде, в помещениях регистратуры, архива и дру­гих, предназначенных для этих целей кабинетах, защищенных от несанкционированного доступа.
• Персональные данные пациентов также хранятся в электронном виде: в локальной компьютерной сети и в персональном ЭВМ уполномоченных должностных лиц.
• Доступ к электронным носителям, содержащим персональные данные па­циентов, обеспечивается двухступенчатой системой паролей: на уровне локальной ком­пьютерной сети и на уровне баз данных. Пароли устанавливаются администратором сети и администратором прикладного программного обеспечения и сообщаются инди­видуально уполномоченным должностным лицам.
• Персональные данные пациентов хранятся не дольше, чем этого требует цели их обработки, и они подлежат уничтожению по достижении целей обработки или в случае утраты необходимости в их достижении.
• Документы, содержащие персональные данные пациентов, подлежат хра­нению в порядке, предусмотренном архивным законодательством Российской Федера­ции.
• Копировать и делать выписки из документов, содержащих персональные данные пациентов, разрешается в случаях, предусмотренных в законодательных актах РФ.
• Передача персональных данных.
• Персональные данные пациентов могут быть представлены государствен­ным органам в порядке, установленным федеральными законами.
• На передачу сведений, содержащих врачебную тайну, должно быть полу­чено письменное согласие пациента (законного представителя). При отсутствии пись­менного согласия пациента (законного представителя) передача персональных данных производится исключительно случаях, установленных законодательством РФ.
• Лица, имеющие доступ к персональным данным пациента, вправе переда­вать персональные данные пациента третьим лицам только при наличии письменного согласия пациента (законного представителя).
• При передаче персональных данных пациента, получающие организации или лица данную информацию, должны быть предупреждены о том, что эти данные мо­гут быть использованы лишь в целях, для которых они сообщены. Лица, получающие персональные данные пациента, обязаны соблюдать режим конфиденциальности. Дан­ное положение не распространяется на обмен персональными данными в порядке, уста­новленном Федеральными законами Российской Федерации.
• Уполномоченные должностные лица, имеющие доступ к персональным данным, при передаче персональных данных пациента ограничивают эту информацию только теми персональными данными, которые необходимы для выполнения указанны­ми представителями их функций.

4. ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ ПАЦИЕНТА
   • Внутренний доступ.
     • Право доступа к персональным данным пациента имеют уполномоченные должностные лица:
   • главный врач, заместители главного врача по медицинской части и амбула­торно — поликлинической работе — к персональным данным всех пациентов;
   • медицинский персонал: врачи, средние медицинские работники, медицин­ские регистраторы, медицинские статистики, работники медицинского архи­ва, юрисконсульт, экономисты и главный бухгалтер — к персональным дан­ным пациентов, которые необходимы для выполнения конкретных функций;
   • программисты и техники — к персональным данным, обрабатываемым дан­ными аппаратно-программными средствами.
     • Уполномоченные должностные лица настоящего Положения, имеет право получать только те персональные данные пациентов, которые необходимы им для вы­полнения своих должностных обязанностей.
   • Внешний доступ.
     • Другой организации персональные данные пациента могут быть предостав­лены только на основании письменного запроса с обязательным приложением копии письменного согласия пациента (законного представителя) о предоставлении сведений, содержащих персональные данные пациента.
     • В отдельных случаях, предусмотренных Федеральными законами, сведе­ния, содержащие персональные данные пациента, могут предоставляться без согласия пациента.
     • Персональные данные пациента могут быть предоставлены родственникам и членам его семьи только с письменного согласия самого пациента. Персональные дан­ные несовершеннолетнего пациента предоставляются только с письменного согласия законных представителей (родители, усыновители, опекуны и т.п.).
     • Лица, получившие доступ к персональным данным пациентов не должны разглашать персональные данные пациента, полученные в рамках своих должностных обязанностей.

5. ЗАЩИТА ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕНТОВ
   • Лицо, имеющее доступ к персональным данным пациентов, обязано:
     • обеспечить предотвращение несанкционированного доступа к таким све­дениям и (или) передачи ее лицам, не имеющим права на доступ к персональным дан­ным пациентов;
     • контролировать обеспечение уровня защищенности персональных данных пациентов.
   • Персональные данные пациента должны храниться:
     • на бумажных носителях — в отдельном помещении с ограниченным досту­пом;
     • на электронных носителях — на персональном компьютере, с установлен­ным средством защиты от несанкционированного доступа, в помещении с ограничен­ным доступом;
   • Передача информации, содержащей сведения о персональных данных па­циента. по телефону, факсу, электронной почте без письменного согласия пациента (за­конного представителя) запрещается.
   • Ответы на письменные запросы, касающиеся персональных данных паци­ента, других организаций в пределах их компетенций и предоставленных полномочий даются только с согласия пациента и в том объеме, который позволяет не разглашать излишний объем персональных сведений о пациенте.
6. ПРАВА ПАЦИЕНТА
   • Пациентам предоставляется полная информация об их персональных дан­ных и о цели, способах обработки этих данных (в том числе автоматизированной).
   • На основании письменного заявления пациента ему выдаются копии ме­дицинских документов, содержащих его персональные данные, если в них не затраги­ваются интересы третьей стороны.
   • Пациент имеет право определять своих представителей для защиты собст­венных персональных данных.
   • Пациент имеет право обжаловать в соответствующие инстанции любые неправомерные действия или бездействие уполномоченных должностных лиц при обра­ботке и защите его персональных данных.
7. ОТВЕТСТВЕННОСТЬ ЗА РАЗГЛАШЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
   • Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных пациентов, несут дисциплинарную, административную, гражданско-правовую и уголовную ответственность в соответствии с Федеральными за­конами.
   • Если права и законные интересы пациентов были нарушены в связи с раз­глашением информации, содержащей их персональные данные, или иным неправомер­ным использованием такой информации, они вправе обратиться в установленном по­рядке за судебной защитой своих прав, в том числе с исками о возмещении убытков, компенсации морального вреда, защите чести, достоинства и деловой репутации. Требо­вание о возмещении убытков не может быть удовлетворено в случае предъявления его лицом, не принимавшим мер по соблюдению конфиденциальности информации или на­рушившим установленные законодательством Российской Федерации требования о за­щите информации, если принятие этих мер и соблюдение таких требований являлись обязанностями данного лица.