Положение о защите персональных данных пациентов
1. Общие положения
1.1. Настоящее Положение устанавливает порядок получения, учета, обработки, накопления, хранения документов, содержащих сведения, отнесенные к персональным данным граждан, обращающихся за получением медицинской помощи, медико-социальных услуг (далее – пациентов) в ООО «МЦ ПРИМА-МЕД» (далее – Учреждение).
1.2. Цель настоящего Положения – защита персональных данных пациентов, обращающихся в Учреждение от несанкционированного доступа и разглашения. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией.
1.3. Основанием для разработки настоящего Положения являются Конституция РФ, Федеральный закон от 21.11.2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», Федеральный закон от 27.07.2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», от 27.07.2006 года № 152-ФЗ «О персональных данных», иные нормативные и распорядительные акты.
1.4. Настоящее Положение и изменения к нему утверждаются приказом Главного врача ООО «МЦ ПРИМА-МЕД».
1.5. Должности, ответственные за сбор, хранение персональных данных — врачи, средний медицинский персонал, сотрудники регистратур, отдела статистики, организационно-методического отдела, сотрудники общего отдела. 1.6. Должности, ответственные за обработку персональных данных, — врачи, средний медицинский персонал, сотрудники регистратур, отдела статистики, работники бухгалтерии, сотрудники общего отдела.
2. Понятие персональных данных
2.1. Персональными данными является информация, относящаяся к конкретному пациенту, сведения о фактах, событиях и обстоятельствах частной жизни пациента, а также биометрических данных, позволяющие идентифицировать его личность, сведения о состоянии его здоровья, в целях выполнения функций учреждения здравоохранения:
- оказания доврачебной, первичной врачебной медико-санитарной помощи, специализированной, скорой, паллиативной медицинской помощи, при проведении медицинских экспертиз, медицинских осмотров, медицинских освидетельствований, обращении донорской крови и (или) ее компонентов в медицинских целях.
- заполнения статистической и иной документации в соответствии с нормативными актами.
2.2. Персональные данные являются строго конфиденциальными, любые лица, получившие к ним доступ, обязаны хранить эти данные в тайне в течение установленного законом срока, за исключением данных, относящихся к следующим категориям:
- обезличенные персональные данные – данные, в отношении которых невозможно определить их принадлежность конкретному физическому лицу;
- общедоступные персональные данные;
2.3. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении соответствующего срока хранения.
2.4. В состав персональных данных пациента входят сведения, необходимые для выполнения функций учреждения здравоохранения:
- фамилия, имя, отчество;
- пол;
- дата рождения;
- адрес места жительства и регистрации;
- реквизиты документа, удостоверяющего личность;
- номер страхового свидетельства государственного пенсионного страхования;
- реквизиты полиса медицинского страхования;
- адрес e-mail, личный телефонный номер;
- сведения о случаях обращения за медицинской помощью;
- данные о состоянии здоровья;
- биометрические данные (физиологические и поведенческие);
- о составе семьи;
- о социальном, семейном и имущественном положении;
- сведения о социальных льготах;
3. Носители персональных данных
3.1. Бумажные носители персональных данных:
- амбулаторная медицинская карта пациента;
- история болезни;
- медицинская документация, составленная в ходе проведения диспансеризации пациента;
- медицинская документация, составленная в ходе проведения осмотров;
- санаторно-курортные карты, справки о состоянии здоровья;
- талон амбулаторного пациента;
- результаты медицинских исследований;
- льготные рецептурные бланки;
- выписки из амбулаторных карт и историй болезни.
3.2. Электронные носители персональных данных – база данных Медицинской информационной системы (МИС), используемой в ООО «МЦ ПРИМА-МЕД».
3.3. Персональные данные на бумажных носителях (амбулаторные карты, истории болезни, другая медицинская документация) хранятся в регистратурах, помещениях архивов, в кабинетах с режимом сохранности.
3.4. При осуществлении амбулаторного приема, стационарного лечения пациентов, обработке медицинской документации, составленной по итогам осмотров, документы, находящиеся в работе у врачей, среднего медицинского персонала, медицинских регистраторов, сотрудников отдела статистики, организационно-методического отдела могут находиться на рабочих столах или в специальных папках только в течение рабочего дня. По окончании рабочего дня данные документы должны убираться в запирающиеся шкафы, регистратуры. Закрепленные помещения для работы с персональными данными в конце рабочего дня опломбировываются, ключи сдаются дежурной смене поликлиники под роспись.
3.5. Персональные данные на электронных носителях защищены паролем доступа, доступ к специализированной программе осуществляется только через личный доступ пароль, право на использование персональных данных имеют только работники, ответственные за обработку персональных данных.
4. Перечень действий с персональными данными и способы обработки персональных данных
4.1. С персональными данными пациента могут осуществляться следующие действия:
- смешанная обработка — ввод, сбор, систематизация, накопление, хранение, изменение, удаление, использование, передача по внутренней сети. Медицинским учреждением формируются массивы персонифицированных данных для передачи во внешние организации (страховые медицинские организации, фонд ОМС, фонд ДМС), данные передаются по защищенным каналам связи (VIPnet).
4.2. Персональные данные обрабатываются:
- для проведения оценки состояния здоровья пациента – полная обработка данных в соответствии с законодательством Российской Федерации;
- других мероприятий, возникающих в процессе выполнения функций Учреждения, в соответствии с законодательством Российской Федерации.
5. Основные условия проведения обработки персональных данных пациентов
5.1. Главный врач определяет объем, содержание обрабатываемых персональных данных пациента, руководствуясь Конституцией РФ, Федеральным законом от 21.11.2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», иными федеральными законами, нормативными и распорядительными актами.
5.2. Обработка персональных данных пациента осуществляется исключительно в целях оказания медицинских и медико-социальных услуг, обеспечения соблюдения законов и иных нормативных правовых актов.
5.3. Все персональные данные предоставляются пациентом. Если персональные данные пациента возможно получить только у третьей стороны, то Учреждение обязано заранее уведомить об этом пациента и получить его письменное согласие. Учреждение должно сообщить о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа пациента дать письменное согласие на их получение.
5.4. Представление пациентом подложных документов или ложных сведений при оформлении документов для оказания медицинской помощи является основанием для отказа в оказании медицинской помощи. 5.5. Сотрудник, ответственный за сбор информации, при получении персональных данных пациента должен: проверить достоверность сведений, сверяя данные, предоставленные пациентом, с имеющимися у пациента документами.
5.6. В случае выявления неправомерных действий с персональными данными пациента: пациент или его законный представитель обращается к главному врачу с заявлением; главный врач издает приказ о проведении служебного расследования; если в ходе служебного расследования подтвердился факт неправомерных действий с персональными данными, то работник, ответственный за получение персональных данных, несет ответственность в установленном законом порядке.
6. Хранение и использование персональных данных пациентов
6.1. Персональные данные пациентов хранятся на бумажных и электронных носителях, в специально предназначенных для этого помещениях.
6.2. В процессе хранения персональных данных пациентов должны обеспечиваться:
- требования нормативных документов, устанавливающих правила хранения конфиденциальных сведений;
- сохранность имеющихся данных, ограничение доступа к ним, в соответствии с законодательством РФ и настоящим Положением;
- контроль над достоверностью и полнотой персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений.
6.3. Доступ к персональным данным пациентов имеют:
6.3.1. Внутренний доступ (доступ внутри организации):
- главный врач;
- заместители главного врача – к персональным данным пациентов в соответствии со спецификой оказываемых услуг;
- врачи, средний медицинский персонал – к персональным данным пациентов при осуществлении амбулаторного приема, стационарном лечении;
- сотрудники регистратур;
- работники бухгалтерии – к тем данным, которые необходимы для выполнения конкретных функций;
- сотрудники отдела статистики, организационно-методического отдела;
- сам пациент, носитель данных.
6.3.1.1. Полный доступ к персональным данным пациента имеют следующие работники Учреждения:
- врачи, средний медицинский персонал;
- заместители главного врача в соответствии со спецификой оказываемых услуг.
6.3.1.2. Частичный доступ к персональным данным пациента имеют:
- медицинский персонал регистратур;
- сотрудники отдела статистики, организационно-методического отдела;
- работники бухгалтерии.
6.3.2. Внешний доступ. Массовые потребители персональных данных вне организации государственные и негосударственные функциональные структуры:
- страховые медицинские организации;
- аптечные организации;
- фонд ОМС;
- фонд ДМС;
- военкоматы;
- органы социального страхования;
- органы внутренних дел, суда, прокуратуры.
6.3.3. Другие организации. Сведения о состоянии здоровья, другие сведения о пациенте могут быть представлены другой организации.