1.1. Настоящее положение разработано в соответствии с Трудовым кодексом Российской Федерации, Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации", Федеральным законом от 21 ноября 2011 г. N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации", Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон о персональных данных) и иными нормативными правовыми актами в области обработки и защиты персональных данных.
1.2. Персональные данные работника - информация, обрабатываемая ООО ЛДЦ «Миленарис» (далее - Клиника, работодатель) в связи с трудовыми отношениями и касающаяся конкретного работника.
Персональные данные клиента - информация, полученная Клиникой при обращении пациентов, заказчиков, законных представителей пациентов за оказанием медицинских услуг, при заключении с пациентами, заказчиками, законными представителями пациентов договора на оказание платных медицинских услуг, а также информация, полученная в процессе оказания медицинской помощи.
1.3. К персональным данным работника относятся:
- фамилия, имя, отчество;
- пол;
- дата и место рождения;
- гражданство;
- данные документа, удостоверяющего личность;
- место жительства;
- место регистрации;
- дата регистрации;
- страховой номер индивидуального лицевого счета;
- сведения об образовании, в том числе данные об организациях, осуществляющих образовательную деятельность по реализации профессиональных образовательных программ медицинского образования, о документах об образовании и (или) о квалификации, о договоре о целевом обучении, а также данные о сертификате специалиста или о прохождении аккредитации специалиста;
- наименование организации, осуществляющей медицинскую деятельность;
- занимаемая должность в организации, осуществляющей медицинскую деятельность;
- сведения о членстве в медицинских профессиональных некоммерческих организациях;
- иные сведения, необходимые работодателю в соответствии с действующим законодательством Российской Федерации в области персональных данных, с помощью которых можно идентифицировать субъекта персональных данных.
1.4. К персональным данным клиента относятся:
- фамилия, имя, отчество;
- пол;
- дата рождения;
- место рождения;
- гражданство;
- данные документа, удостоверяющего личность;
- место жительства;
- место регистрации;
- дата регистрации;
- страховой номер индивидуального лицевого счета;
- номер полиса обязательного медицинского страхования застрахованного лица;
- анамнез;
- диагноз;
- вид оказанной медицинской помощи;
- условия оказания медицинской помощи;
- объем оказанной медицинской помощи, включая сведения об оказанных медицинских услугах;
- результат обращения за медицинской помощью;
- серия и номер выданного листка нетрудоспособности;
- сведения о проведенных медицинских экспертизах, медицинских осмотрах и медицинских освидетельствованиях и их результаты;
- иные сведения, необходимые медицинской организации в соответствии с действующим законодательством Российской Федерации в области персональных данных, с помощью которых можно идентифицировать субъекта персональных данных.
1.5. Сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну.
Требования к соблюдению врачебной тайны регламентированы Положением о соблюдении врачебной тайны в ООО ЛДЦ «Миленарис».
1.6. Все персональные сведения о работниках, пациентах, заказчиках, законных представителей пациентов Клиника получает только от них самих. В случаях, когда Клиника получает необходимые персональные данные работников и пациентов у третьего лица, Клиника уведомляет об этом работников и пациентов и получает от них письменное согласие.
1.7. Клиника сообщает работникам и клиентам о целях, способах и источниках получения персональных данных, а также о характере подлежащих получению персональных данных и возможных последствиях отказа работников и клиентов дать письменное согласие на их получение.
1.8. Персональные данные работников и клиентов являются конфиденциальной информацией и не могут быть использованы Клиникой или любым иным лицом в личных целях.
1.9. При определении объема и содержания персональных данных работников и клиентов Клиника руководствуется настоящим положением, Трудовым кодексом Российской Федерации, иными федеральными законами.
2.1. Обработка персональных данных клиентов (заказчиков, пациентов, законных представителей пациентов) осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, установления медицинского диагноза и оказания медицинских услуг конкретному лицу.
2.2. Целью обработки персональных данных клиентов является обеспечение соблюдения законодательства РФ в сфере здравоохранения.
2.3. Клиника обрабатывает на бумажных носителях и в информационных системах без использования средств автоматизации следующие категории персональных данных клиентов, обеспечивает их защиту с учетом определенного типа угроз безопасности и уровня защищенности персональных данных:
|
Категория персональных данных |
Перечень персональных данных |
Категория клиентов |
Тип угрозы |
Уровень защищенности |
Срок обработки и хранения |
Способ обработки |
|
только общие персональные данные |
- фамилия, имя, отчество; - пол; - дата рождения; - место рождения; - гражданство; - данные документа, удостоверяющего личность; - место жительства; - место регистрации; - дата регистрации; - страховой номер индивидуального лицевого счета; - номер полиса обязательного медицинского страхования застрахованного лица |
Пациенты, законные представители пациентов, заказчики медицинских услуг |
Угроза НСД к информации |
Третий уровень защищенности |
До достижения целей обработки персональных данных |
Без использования средств автоматизации; с передачей по внутренней сети Клиники; с передачей по сети Интернет |
|
общие и специальные персональные данные |
- фамилия, имя, отчество; - пол; - дата рождения; - место рождения; - гражданство; - данные документа, удостоверяющего личность; - место жительства; - место регистрации; - дата регистрации; - страховой номер индивидуального лицевого счета; - номер полиса обязательного медицинского страхования застрахованного лица; - анамнез; - диагноз; - расовая, национальная принадлежности; - политические взгляды; - религиозные или философские убеждения; - состояние здоровья, - интимной жизни; - сведения о судимости; - иное. |
Пациенты |
Угрозы НСД в ИСПДн с применением программных и программно-аппаратных средств; угрозы утечки информации по техническим каналам
|
Третий уровень защищенности |
До достижения целей обработки персональных данных |
Без использования средств автоматизации; с передачей по внутренней сети Клиники; с передачей по сети Интернет |
2.4. Клиника при обработке персональных данных клиентов на бумажных носителях и в информационных системах в целях обеспечения их защиты:
- назначает должностное лицо (работника), ответственного за обработку персональных данных;
- назначает лицо, ответственное за защиту информации при обработке персональных данных в информационных системах;
- ограничивает допуск в помещения, в которых хранятся документы, содержащие персональные данные работников или пациентов;
2.5. Клиника обеспечивает безопасность персональных данных клиентов при их обработке в информационных системах следующими способами:
- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- применением прошедших в установленном порядке процедур оценки соответствия средств защиты информации;
- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учетом машинных носителей персональных данных;
- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер;
- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
2.6. В целях обеспечения конфиденциальности документы, содержащие персональные данные клиентов, оформляются, ведутся и хранятся только лечащими врачами, средним медицинским персоналом, администраторами и регистраторами Клиники.
2.7. Работники Клиники, допущенные к персональным данным клиентов, подписывают обязательства о неразглашении персональных данных. В противном случае до обработки персональных данных клиентов работники не допускаются.
2.8. Персональные данные клиентов хранятся в регистратуре Клиники на бумажных носителях (медицинская карта, информированное добровольное согласие на медицинское вмешательство, договор об оказании платных медицинских услуг) и на электронных носителях с ограниченным доступом.
2.9. Право доступа к персональным данным клиентов имеют:
- руководитель Клиники;
- главный врач и его заместители;
- заведующие отделениями;
- врачи;
- средний медицинский персонал;
- администраторы (включая старших);
- регистраторы (включая старших).
2.10. Клиника осуществляет передачу персональных данных клиентов только в случаях, предусмотренных законом.
2.11. Обработка специальных категорий персональных данных о состоянии здоровья пациентов допускается без их согласия, если такая обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно, а также если обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну.
3.1. Обработка персональных данных работника осуществляется исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работнику в трудоустройстве, обучении и продвижении по службе, обеспечения личной безопасности работника, контроля количества и качества выполняемой работы и обеспечения сохранности имущества.
3.2. При заключении трудового договора лицо, поступающее на работу, предъявляет работодателю:
- паспорт или иной документ, удостоверяющий личность;
- трудовую книжку и (или) сведения о трудовой деятельности, за исключением случаев, если трудовой договор заключается впервые;
- документ, подтверждающий регистрацию в системе индивидуального (персонифицированного) учета, в том числе в форме электронного документа;
- документы воинского учета - для военнообязанных и лиц, подлежащих призыву на военную службу;
- документ об образовании и (или) о квалификации или наличии специальных знаний (при поступлении на работу, требующую специальных знаний или специальной подготовки);
- справку о наличии (отсутствии) судимости и (или) факта уголовного преследования либо о прекращении уголовного преследования по реабилитирующим основаниям (при поступлении на работу, связанную с деятельностью, к осуществлению которой не допускаются лица, имеющие или имевшие судимость, подвергающиеся или подвергавшиеся уголовному преследованию).
В отдельных случаях с учетом специфики работы может предусматриваться необходимость предъявления при заключении трудового договора дополнительных документов.
3.3. Запрещается требовать от лица, поступающего на работу, документы, помимо предусмотренных Трудовым кодексом Российской Федерации, иными федеральными законами, указами Президента Российской Федерации и постановлениями Правительства Российской Федерации.
3.4. Работодатель обрабатывает в информационных системах с использованием средств автоматизации следующие категории персональных данных работника, обеспечивает их защиту с учетом определенного типа угроз безопасности и уровня защищенности персональных данных:
Цель обработки персональных данных: ведение кадрового делопроизводства
|
Категория персональных данных |
Перечень персональных данных |
Категория работников |
Тип угрозы |
Уровень защищенности |
Срок обработки и хранения |
Способ обработки |
|
только общие персональные данные |
- фамилия, имя, отчество; - пол; - дата и место рождения; - гражданство; - данные документа, удостоверяющего личность; - место жительства; - место регистрации; - дата регистрации; - страховой номер индивидуального лицевого счета; - сведения об образовании; - иное. |
Работники; соискатели; уволенные работники; контрагенты |
Угрозы утечки информации по техническим каналам; угрозы НСД |
Четвертый уровень защищенности |
До достижения целей обработки персональных данных |
Без использования средств автоматизации; без передачи по внутренней сети работодателя; с передачей по сети Интернет |
|
только общие персональные данные |
фамилия, имя, отчество; степень родства; год рождения; иные персональные данные, предоставляемые работниками в соответствии с требованиями трудового законодательства |
Члены семьи работников |
Угрозы утечки информации по техническим каналам; угрозы НСД |
Четвертый уровень защищенности |
До достижения целей обработки персональных данных |
Без использования средств автоматизации; без передачи по внутренней сети работодателя; без передачи по сети Интернет |
3.3. Клиника при обработке персональных данных работника и клиентов на бумажных носителях в целях обеспечения их защиты:
- назначает должностное лицо (работника), ответственного за обработку персональных данных;
- ограничивает допуск в помещения, в которых хранятся документы, содержащие персональные данные работников или пациентов.
3.4. В целях обеспечения конфиденциальности документы, содержащие персональные данные работников, оформляются, ведутся и хранятся только работниками отдела кадров, бухгалтерии и службы охраны труда Клиники.
3.5. Работники Клиники, допущенные к персональным данным работников, подписывают обязательства о неразглашении персональных данных. В противном случае до обработки персональных данных работников не допускаются.
3.6. Специалист отдела кадров вправе передавать персональные данные работников в бухгалтерию Клиники в случаях, установленных законодательством, необходимых для исполнения обязанностей работников бухгалтерии.
3.7. Руководитель Клиники может передавать персональные данные работников третьим лицам, только если это необходимо в целях предупреждения угрозы жизни и здоровья работника, а также в случаях, установленных законодательством.
3.8. При передаче персональных данных работников специалист отдела кадров и руководитель Клиники предупреждают лиц, получающих данную информацию, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требуют от этих лиц письменное подтверждение соблюдения этого условия.
3.9. Передача персональных данных по запросам третьих лиц, если такая передача прямо не предусмотрена законодательством Российской Федерации, допускается исключительно с согласия работника на обработку его персональных данных в части их предоставления или согласия на распространение персональных данных.
3.10. Передача информации, содержащей сведения о персональных данных работника по телефону, в связи с невозможностью идентификации лица, запрашивающего информацию, запрещается.
3.11. Персональные данные работника хранятся в отделе кадров, в сейфе на бумажных носителях: трудовая книжка, личная карточка и на электронных носителях с ограниченным доступом.
3.12. Право доступа к персональным данным работника имеют:
- руководитель Клиники;
- главный врач и его заместители;
- специалист по кадрам;
- специалист по охране труда;
- главный бухгалтер;
- работники бухгалтерии.
3.13. Клиника осуществляет передачу персональных данных работников только при наличии согласия указанных лиц на обработку персональных данных, разрешенных ими для распространения.
3.14. Согласие работника на обработку персональных данных, разрешенных ими для распространения, оформляется отдельно от иных согласий указанного лица на обработку его персональных данных.
3.15. Клиника обеспечивает работникам возможность определить перечень персональных данных по каждой категории персональных данных, указанной в согласии на обработку персональных данных, разрешенных этими лицами для распространения.
3.16. Молчание или бездействие работника ни при каких обстоятельствах не может считаться согласием на обработку персональных данных, разрешенных им для распространения.
3.17. В согласии работника на обработку персональных данных, разрешенных им для распространения, работник или пациент вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных Клиникой неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц.
Отказ Клиники в установлении работником запретов и условий, предусмотренных в настоящем пункте, не допускается.
3.18. Установленные работником запреты на передачу (кроме предоставления доступа), а также на обработку или условия обработки (кроме получения доступа) персональных данных, разрешенных им для распространения, не распространяются на случаи обработки персональных данных в государственных, общественных и иных публичных интересах, определенных законодательством Российской Федерации.
3.19. Все сведения о передаче персональных данных работников учитываются для контроля правомерности использования данной информации лицами, ее получившими.
3.20. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, допускается только в случаях, предусмотренных законом.
4.1. Клиника за свой счет обеспечивает защиту персональных данных работников и пациентов от неправомерного их использования или утраты в порядке, установленном законодательством Российской Федерации.
4.2. Клиника принимает меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами. Клиника самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных Законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами. К таким мерам, в частности, относятся:
1) назначение ответственного за организацию обработки персональных данных;
2) издание документов, определяющих политику Клиники в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных, определяющих для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений. Такие документы и локальные акты не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на Клинику не предусмотренные законодательством Российской Федерации полномочия и обязанности;
3) применение правовых, организационных и технических мер по обеспечению безопасности персональных данных;
4) осуществление внутреннего контроля и (или) аудита соответствия обработки персональных данных Закону о персональных данных и принятым в соответствии с ним нормативным правовым актам, требованиям к защите персональных данных, политике медицинской организации в отношении обработки персональных данных, ее локальным актам;
5) оценка вреда, который может быть причинен субъектам персональных данных в случае нарушения Закона о персональных данных, соотношение указанного вреда и принимаемых медицинской организацией мер, направленных на обеспечение выполнения обязанностей, предусмотренных названным Федеральным законом;
6) ознакомление работников Клиники, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику медицинской организации в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
4.3. Клиника знакомит работников с настоящим положением и их правами в области защиты персональных данных под расписку.
4.4. Клиника осуществляет передачу персональных данных работников и клиентов только в соответствии с настоящим положением и законодательством Российской Федерации.
4.5. Клиника предоставляет персональные данные работников и клиентов только уполномоченным лицам и только в той части, которая необходима им для выполнения их трудовых обязанностей, в соответствии с настоящим положением и законодательством Российской Федерации.
4.6. Клиника не вправе предоставлять персональные данные работников и клиентов в коммерческих целях без их письменного согласия.
4.7. Клиника обеспечивает работникам и клиентам свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных законодательством.
4.8. Клиника по требованию работника и клиента предоставляет ему полную информацию о его персональных данных и обработке этих данных.
5.1. Работник или клиент в целях обеспечения защиты своих персональных данных, хранящихся в Клинике, имеют право:
- получать полную информацию о своих персональных данных, их обработке, хранении и передаче;
- определять своих представителей для защиты своих персональных данных;
- требовать исключения или исправления неверных или неполных персональных данных, а также данных, обработанных с нарушениями настоящего положения и законодательства Российской Федерации;
- требовать от Клиники извещения всех лиц, которым ранее были сообщены неверные или неполные персональные данные работника или пациента, обо всех произведенных в них исключениях, исправлениях или дополнениях.
5.2. Если работник или клиент считает, что Клиника осуществляет обработку его персональных данных с нарушением требований Закона о персональных данных или иным образом нарушает его права и свободы, он вправе обжаловать действия или бездействие Клиники в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.
5.3. Работник или клиент вправе обратиться с требованием прекратить передачу (распространение, предоставление, доступ) своих персональных данных, ранее разрешенных им для распространения, к любому лицу, обрабатывающему его персональные данные, в случае несоблюдения положений Закона о персональных данных или обратиться с таким требованием в суд.
6.1. В случае выявления неправомерной обработки персональных данных при обращении работника или клиента Клиника осуществляет блокирование неправомерно обрабатываемых персональных данных, относящихся к этому работнику или клиенту, с момента такого обращения на период проверки.
6.2. В случае выявления неточных персональных данных при обращении работника или клиента Клиника осуществляет блокирование персональных данных, относящихся к этому работнику или клиенту, с момента такого обращения на период проверки, если блокирование персональных данных не нарушает права и законные интересы работника или клиента, или третьих лиц.
6.3. В случае подтверждения факта неточности персональных данных Клиника на основании сведений, представленных работником или клиентом, или иных необходимых документов уточняет персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование персональных данных.
6.4. В случае поступления требования работника или клиента о прекращении распространения его персональных данных передача (распространение, предоставление, доступ) персональных данных, разрешенных таким работником или клиентом для распространения, должна быть прекращена в течение трех рабочих дней с момента получения такого требования.
Действие согласия работника или клиента на обработку персональных данных, разрешенных им для распространения, прекращается с момента поступления в Клинику указанного требования.
6.5. В случае выявления неправомерной обработки персональных данных, Клиника в срок, не превышающий трех рабочих дней с даты этого выявления, прекращает неправомерную обработку персональных данных.
6.6. В случае если обеспечить правомерность обработки персональных данных невозможно, Клиника в срок, не превышающий десяти рабочих дней с даты выявления неправомерной обработки персональных данных, уничтожает такие персональные данные.
6.7. Об устранении допущенных нарушений или об уничтожении персональных данных Клиника уведомляет работника или клиента.
6.8. В случае установления факта неправомерной или случайной передачи (предоставления, распространения, доступа) персональных данных, повлекшей нарушение прав работника или пациента, Клиника уведомляет уполномоченный орган по защите прав субъектов персональных данных:
- в течение двадцати четырех часов о произошедшем инциденте, о предполагаемых причинах, повлекших нарушение прав работника или клиента, и предполагаемом вреде, нанесенном правам работника или клиента, о принятых мерах по устранению последствий соответствующего инцидента, а также предоставляет сведения о лице, уполномоченном Клиникой на взаимодействие с уполномоченным органом по защите прав субъектов персональных данных, по вопросам, связанным с выявленным инцидентом;
- в течение семидесяти двух часов о результатах внутреннего расследования выявленного инцидента, а также предоставляет сведения о лицах, действия которых стали причиной выявленного инцидента (при наличии).
6.9. В случае достижения цели обработки персональных данных Клиника прекращает обработку персональных данных и уничтожает персональные данные в срок, не превышающий тридцати дней с даты достижения цели обработки персональных данных, если иное не предусмотрено трудовым договором или договором на оказание медицинских услуг.
6.10. В случае отзыва работником или клиентом согласия на обработку его персональных данных медицинская организация прекращает их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожает персональные данные в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если иное не предусмотрено трудовым договором или договором на оказание медицинских услуг.
6.11. В случае обращения работника или клиента в Клинику с требованием о прекращении обработки персональных данных Клиника в срок, не превышающий десяти рабочих дней с даты получения ей соответствующего требования, прекращает их обработку, за исключением случаев, предусмотренных Законом о персональных данных.
Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления медицинской организацией в адрес работника или пациента мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации.
6.12. В случае отсутствия возможности уничтожения персональных данных в течение срока, указанного в пунктах 6.4-6.11 настоящего положения, Клиника осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев, если иной срок не установлен федеральными законами.
6.13. После истечения срока нормативного хранения документов, содержащих персональные данные работника или клиента, или при наступлении иных законных оснований документы подлежат уничтожению.
6.14. Клиника для этих целей создает экспертную комиссию и проводит экспертизу ценности документов.
6.15. По результатам экспертизы документы, содержащие персональные данные работника или клиента и подлежащие уничтожению:
- на бумажном носителе - уничтожаются физическим способом.
- в электронном виде - стираются с информационных носителей либо физически уничтожаются сами носители, на которых хранится информация.
7.1. Обработка персональных данных в информационных системах осуществляется Клиникой после завершения работ по созданию системы защиты персональных данных в информационной системе, ее проверки и оценки соответствия информационной системы персональных данных требованиям безопасности информации.
7.2. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные, или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора.
7.3. Безопасность персональных данных при их обработке в информационных системах обеспечивается Клиникой с помощью системы защиты персональных данных, включающей организационные меры и средства защиты информации (в том числе шифровальные (криптографические) средства, средства предотвращения несанкционированного доступа, утечки информации по техническим каналам, программно-технических воздействий на технические средства обработки персональных данных), а также используемые в информационной системе информационные технологии.
7.4. Состав и содержание мер по защите информации в информационных системах зависят от установленного уровня защищенности информационной системы.
7.5. Установление уровня защищенности (пересмотр уровня защищенности) информационной системы персональных данных проводится системным администратором Клиники.
7.6. Разрешением на обработку персональных данных на объекте информационной системы является приказ руководителя Клиники о вводе указанного объекта в эксплуатацию.
7.7. Безопасность персональных данных, обрабатываемых с использованием средств автоматизации, достигается путем исключения несанкционированного, в том числе случайного доступа к персональным данным.
7.8. Уполномоченными сотрудниками при обработке персональных данных в информационных системах персональных данных должна быть обеспечена их безопасность с помощью системы защиты, включающей организационные меры и средства защиты информации, в том числе шифровальные (криптографические) средства.
7.9. Обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации организационных мер и путем применения программных и технических средств.
7.10. Доступ пользователей к персональным данным в информационных системах персональных данных разрешается после обязательного прохождения процедуры идентификации и аутентификации.
7.11. Лицами, ответственными за обеспечение безопасности персональных данных при их обработке в информационных системах, должно быть обеспечено:
а) своевременное обнаружение фактов несанкционированного доступа к персональным данным и немедленное доведение этой информации до руководства;
б) недопущение воздействия на технические средства автоматизированной обработки персональных данных, в результате которого может быть нарушено их функционирование;
в) возможность незамедлительного восстановления персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
г) постоянный контроль за обеспечением уровня защищенности персональных данных;
д) знание и соблюдение условий использования средств защиты информации, предусмотренных эксплуатационной и технической документацией;
е) учет применяемых средств защиты информации, эксплуатационной и технической документации к ним, носителей персональных данных;
ж) при обнаружении нарушений порядка предоставления персональных данных незамедлительное приостановление предоставления персональных данных пользователям информационной системы до выявления причин нарушений и устранения этих причин;
з) разбирательство и составление заключений по фактам несоблюдения условий хранения носителей персональных данных, использования средств защиты информации, которые могут привести к нарушению конфиденциальности персональных данных или другим нарушениям, приводящим к снижению уровня защищенности персональных данных, разработка и принятие мер по предотвращению возможных опасных последствий подобных нарушений.
7.12. В случае выявления нарушений порядка обработки персональных данных в информационных системах Клиникой принимаются меры по установлению причин нарушений и их устранению.
8.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных работника или клиента, привлекаются к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном действующим законодательством Российской Федерации.
8.1.1. Дисциплинарная ответственность.
На лицо, обязанное должным образом хранить и беречь информацию, касающуюся персональных данных работника, но в результате ненадлежащего хранения допустившего ее порчу или утрату, может быть наложено дисциплинарное взыскание в соответствии со статьями 192-195 ТК РФ. Разглашение работником Клиники персональных данных другого работника, ставших ему известными в связи с исполнением трудовых обязанностей, является основанием для увольнения такого работника в соответствии с подпунктом "в" пункта 6 статьи 81 ТК РФ.
Разглашение персональных данных работников лицом, принявшим на себя ответственность за неразглашение персональных данных, является основанием для привлечения такого лица к полной материальной ответственности в соответствии с положениями главы 39 ТК РФ, статьи 15 ГК РФ.
8.1.2. Административная ответственность.
Статьей 13.11 КоАП РФ предусмотрена ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных). В соответствии со ст. 13.14 КоАП РФ установлена ответственность за разглашение информации с ограниченным доступом лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей.
8.1.3. Гражданско-правовая ответственность.
Статьями 150, 151, 152 ГК РФ установлены формы гражданско-правовой ответственности в виде денежной компенсации за причиненный моральный вред, обязанности опровержения сведений, порочащих честь, достоинство или деловую репутацию гражданина (работника).
Моральный вред, причиненный работнику вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Федеральным законом, а также требований к защите персональных данных, установленных в соответствии с Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных работником убытков.
8.1.4. Уголовная ответственность предусматривается:
- за нарушение неприкосновенности частной жизни в соответствии со статьей 137 УК РФ,
- за неправомерный отказ должностного лица в предоставлении собранных в установленном порядке документов и материалов, непосредственно затрагивающих права и свободы гражданина, либо предоставление гражданину неполной или заведомо ложной информации, если эти деяния причинили вред правам и законным интересам граждан в соответствии со статьей 140 УК РФ,
- за неправомерный доступ к охраняемой законом компьютерной информации, если это деяние повлекло уничтожение, блокирование, модификацию либо копирование компьютерной информации, в соответствии со статьей 272 УК РФ.
8.2. Моральный вред, причиненный работнику или клиенту вследствие нарушения его прав, нарушения правил обработки персональных данных, установленных Законом о персональных данных, а также требований к защите персональных данных, установленных в соответствии с названным Федеральным законом, подлежит возмещению в соответствии с законодательством Российской Федерации. Возмещение морального вреда осуществляется независимо от возмещения имущественного вреда и понесенных работником или пациентом убытков.
9.1. Настоящее положение вступает в силу с момента его утверждения.
9.2. Клиника обеспечивает неограниченный доступ к настоящему документу.
9.3. Настоящее положение доводится до сведения всех работников персонально под роспись.
Мы придерживаемся простого и ясного взгляда: медицинские услуги должны быть доступными и безупречно профессиональными. Точное обследование организма, эффективное лечение и бережная реабилитация - надёжный путь к выздоровлению.
