ПОЛОЖЕНИЕ
о защите персональных данных граждан, обратившихся за медицинскими услугами в БУЗ УР «ГП № 10 МЗ УР»
I. Общие положения
1.1.Настоящим положением определяется порядок обращения с персональными данными граждан (далее пациентов), обратившихся за медицинскими услугами в Бюджетное учреждение здравоохранения Удмуртской Республики «Городская поликлиника № 10 Министерства здравоохранения Удмуртской Республики» (далее БУЗ УР «ГП № 10 МЗ УР») по различным основаниям (закрепленное население, договоры обязательного или добровольного медицинского страхования, самостоятельно обратившиеся за медицинскими услугами) .
1.2.Упорядочение обращения с персональными данными имеет целью обеспечить соблюдение законных прав и интересов БУЗ УР «ГП № 10 МЗ УР» и пациентов в связи с необходимостью получения (сбора) и обработки, сведений, составляющих персональные данные.
1.3.Персональные данные пациента – любая информация, относящаяся к данному пациенту (субъекту персональных данных) и необходимая БУЗ УР «ГП № 10 МЗ УР» с целью осуществления уставной деятельности по оказанию медицинских и медико-социальных услуг, в том числе:
Фамилия, имя, отчество пациента;
Дата и место рождения пациента;
Адрес пациента;
Семейное, социальное, имущественное положение пациента;
Образование, профессия пациента;
Биометрические данные пациента;
Сведения о состоянии здоровья пациента;
Другая аналогичная информация, на основании которой возможна безошибочная идентификация субъекта персональных данных.
1.4.Сведения о персональных данных пациентов относятся к числу конфиденциальных (составляющих охраняемую законом тайну). Режим конфиденциальности в отношении персональных данных снимается:
В случае их обезличивания (см. далее);
По истечении срока их хранения;
В других случаях, предусмотренных федеральными законами.
II. Основные понятия. Состав персональных данных пациентов.
2.1. Для целей настоящего Положения используются следующие основные понятия:
Персональные данные пациента – в соответствии с п.1.3. настоящего Положения;
Обработка персональных данных пациента – сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение персональных данных;
Конфиденциальность персональных данных – обязательное для соблюдения назначенного ответственного лица, получившего доступ к персональным данным пациентов, требование не допускать их распространения без согласия пациента или иного законного основания;
Распространение персональных данных – действия, направленные на передачу персональных данных пациентов определенному кругу лиц (передача персональных данных) или ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных пациентов в средствах массовой информации, размещение в информационно – телекоммуникационных сетях или представление доступа к персональным данным пациентов каким – либо иным способом;
Использование персональных данных – действия (операции) с персональными данными. совершаемые уполномоченным лицом БУЗ УР «ГП № 10 МЗ УР» в целях принятия решений или совершения иных действий, порождающих практические последствия в отношении пациентов либо иным образом затрагивающих их права и свободы или права и свободы других лиц;
Блокирование персональных данных – временное прекращение сбора, систематизации, накопления, использования, распространения персональных данных пациентов, в том числе их передачи;
Уничтожение персональных данных – действия, в результате которых невозможно восстановить содержание персональных данных в информационной системе персональных данных пациентов или в результате которых уничтожаются материальные носители персональных данных пациентов;
Обезличивание персональных данных пациентов – действия в результате которых невозможно определить принадлежность персональных данных конкретному пациенту;
Общедоступные персональные данные – персональные данные, доступ неограниченного круга лиц, к которым представлен с согласия пациента, или на которые, в соответствии с федеральными законами, не распространяется требование соблюдения конфиденциальности;
Информация – сведения (сообщения, данные) независимо от формы их представления;
Документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или ее материальный носитель.
Биометрические данные – информация о пациенте, получаемая путем непосредственного обследования (вес, рост, артериальное давление, пульс, частота дыхательных движений, динамометрия, объём бицепса и т. п.)
Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки.
2.2.Информация, предоставляемая пациентом при обращении в БУЗ УР «ГП № 10 МЗ УР», может не иметь документальной формы и выглядеть в виде рассказа (анамнестических данных) или сведений, полученных при непосредственном исследовании пациента медицинским работником (физикальные данные, биометрические данные). Медицинские работники документируют полученную информацию о пациенте. Кроме того пациент, обратившийся за медицинской услугой предъявляет:
Паспорт или иной документ, удостоверяющий личность;
Полис обязательного или добровольного медицинского страхования;
Страховое свидетельство государственного пенсионного страхования;
Документы, подтверждающие принадлежность к льготным категориям граждан;
Медицинскую карту амбулаторного больного (если она находится на руках);
Направление на обследование или лечение;
Данные лабораторно-инструментального обследования проведенного ранее (анализы, выписки).
2.3.При оформлении пациента в регистратуре поликлиники заполняется медицинская документация: «Медицинская карта амбулаторного больного», «Медицинская карта стоматологического больного», в дневном стационаре заполняются: «Медицинская карта больного стационара дневного пребывания», в акушерско-гинекологическом отделении «Индивидуальная карта беременной и родильницы в этих документах отображаются следующие анкетные и биографические данные пациента:
- общие сведения (Ф.И.О., дата рождения, место рождения, гражданство, образование, профессия, возраст, пол, паспортные данные, данные полиса медицинского страхования);
- сведения о национальности, социальном положении пациента;
- сведения о месте жительства и контактных телефонах;
- биометрические данные;
- сведения о семейном положении;
- сведения о состоянии здоровья;
- сведения о принадлежности к льготным категориям граждан.
2.4.В БУЗ УР «ГП № 10 МЗ УР» создаются и хранятся следующие документы, содержащие персональные данные о пациентах в единичном и сводном виде:
2.4.1. В регистратуре поликлиники: статистические талоны амбулаторного пациента (форма № 025-12/у) медицинская карта амбулаторного больного (форма № 025/у), информированное согласие на проведение ведомственной и вневедомственной экспертизы медицинской документации пациентов (приложение к приказу МЗ УР от 03.03.2003 № 64), информационное согласие на обработку персональных данных.
2.4.2. В стоматологической поликлинике: медицинская карта стоматологического больного (форма № 043/у), договор на оказание медицинских услуг за счет личных средств граждан.
2.4.3.В стационаре дневного пребывания: медицинская карта больного стационара дневного пребывания, согласие с общим планом обследования и лечения, информированное согласие пациента на лечебную (диагностическую) манипуляцию (процедуру), статистическая карта выбывшего из стационара дневного пребывания, информированное согласие в случае неинвазивных методов обследования и лечения, информированное согласие на проведение ведомственной и вневедомственной экспертизы медицинской документации пациентов (приложение к приказу МЗ УР от 03.03.2003 № 64), информированное согласие на предоставление информации о состоянии здоровья пациента, информационное согласие на обработку персональных данных.
2.4.4. В акушерско-гинекологичеком отделении: индивидуальная карта беременной и родильницы (форма № 111/у), решение пациента на выполнение медицинского исследования, вмешательства, операции, диспансерного наблюдения (приложение к индивидуальной карте беременной и родильницы), родовые сертификаты, медицинская карта больного стационара дневного пребывания, согласие с общим планом обследования и лечения, информированное согласие пациента на лечебную (диагностическую) манипуляцию (процедуру), статистическая карта выбывшего из стационара дневного пребывания, информированное согласие в случае неинвазивных методов обследования и лечения, информированное согласие на проведение ведомственной и вневедомственной экспертизы медицинской документации пациентов (приложение к приказу МЗ УР от 03.03.2003 № 64), информированное согласие на предоставление информации о состоянии здоровья пациента, договор на оказание медицинских услуг за счет личных средств граждан.
2.4.5. В кабинете учета и медицинской статистики: оригиналы и копии утвержденных форм статистической отчетности учреждения в виде сводов обезличенных персональных данных и аналитических таблиц, статистические талоны, отрывные талоны выбывших из стационара дневного пребывания.
2.4.6. В отделении восстановительного лечения: Карта больного, лечащегося в физиотерапевтическом отделении (форма № 44/у).
2.4.7. В архиве: – все вышеуказанные документы после истечения срока хранения в подразделениях.
III. Организация обработки персональных данных пациентов
3.1. Представитель БУЗ УР «ГП № 10 МЗ УР», уполномоченный на работу с персональными данными, не имеет права получать и обрабатывать персональные данные пациента о его расовой, принадлежности, политических взглядах, религиозных, философских убеждениях. В случаях, непосредственно связанных с вопросами оказания медицинских услуг, в соответствии со ст. 24 Конституции РФ БУЗ УР «ГП № 10 МЗ УР» вправе получать и обрабатывать данные о частной жизни пациента только с его письменного согласия.
3.2.Все персональные данные пациента следует получать у него самого. Если персональные данные возможно получить только у третьей стороны, то пациент должен быть уведомлен об этом заранее (в письменной форме) и от него должно быть получено письменное согласие. Представитель БУЗ УР «ГП № 10 МЗ УР», уполномоченный на работу с персональными данными, обязан сообщить пациенту о целях, предполагаемых источниках и способах получения персональных данных, а также о последствиях отказа пациента дать письменное согласие на их получение.
3.3.Обработка указанных персональных данных пациентов в БУЗ УР «ГП № 10 МЗ УР» возможна только с их согласия, либо без их согласия в следующих случаях:
- обработка персональных данных осуществляется на основании Федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора.
3.4. На основании ст.91 – 94 Федерального закона от 21 ноября 2011 года № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» возможна обработка без получения письменного согласия следующей группы персональных данных о лицах, которым оказываются медицинские услуги:
1).фамилия, имя, отчество (последнее при наличии);
2).пол;
3).дата рождения;
4).место рождения;
5).гражданство;
6).данные документа, удостоверяющего личность;
7).место жительства;
8).место регистрации;
9).дата регистрации;
10). страховой номер индивидуального лицевого счета (при наличии), принятый в
соответствии с законодательством РФ об индивидуальном (персонифицированном) учете в
системе обязательного пенсионного страхования ;
11).номер полиса обязательного медицинского страхования застрахованного лица (при
наличии);
12).анамнез;
13).диагноз;
14).сведения об организации, оказавшей медицинские услуги;
15).вид оказанной медицинской услуги;
16).условия оказания медицинской помощи;
17).сроки оказания медицинской помощи;
18).объем оказанной медицинской помощи;
19).результат обращения за медицинской помощью;
20).серия и номер выданного листка нетрудоспособности (при наличии);
21).сведения об оказанных медицинских услугах;
22).примененные стандарты медицинской помощи;
23).сведения о медицинском работнике или медицинских работниках, оказавших медицинскую
услугу.
- персональные данные являются общедоступными;
- персональные данные относятся к состоянию здоровья пациента, и их обработка необходим для защиты его жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия пациента невозможно;
- по требованию полномочных государственных органов – в случаях, предусмотренных федеральным законом.
3.5. БУЗ УР «ГП № 10 МЗ УР» вправе обрабатывать персональные данные пациентов только с их письменного согласия или письменного согласия их законных представителей (исключая оговоренные в п.3.4.1).
3.6. Письменное согласие пациента на обработку своих персональных данных должно включать в себя:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
- срок, в течение которого действует согласие, а также порядок его отзыва.
3.7.Согласие пациента не требуется в следующих случаях:
- обработка персональных данных осуществляется на основании федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определенного полномочия оператора;
- обработка персональных данных осуществляется для статистических или иных научных целей при условии обязательного обезличивания персональных данных;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов пациента, если получение согласия невозможно.
3.8.Пациент представляет в БУЗ УР «ГП № 10 МЗ УР» достоверные сведения о себе. БУЗ УР «ГП № 10 МЗ УР» может проверить достоверность сведений.
3.9.В соответствии со ст. 2 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, руководитель БУЗ УР «ГП № 10 МЗ УР» и её законные, полномочные представители при обработке персональных данных пациента должны выполнять следующие требования:
3.9.1. Обработка персональных данных может осуществляться исключительно в целях обеспечения соблюдения законов или иных правовых актов, содействия пациентам в получении наиболее качественных медицинских услуг в объемах, оговоренных в утвержденных в ведомственных стандартах и в установленные сроки.
3.9.2.При определении объема и содержания, обрабатываемых персональных данных, БУЗ УР «ГП № 10 МЗ УР» должна руководствоваться Конституцией РФ и иными федеральными законами
3.9.3.При принятии решений, затрагивающих интересы пациента, БУЗ УР «ГП № 10 МЗ УР» не имеет права основываться на персональных данных, полученных о нем исключительно в результате их автоматизированной обработки или электронного получения
3.9.4.Защита персональных данных пациента от неправомерного их использования, утраты обеспечивается БУЗ УР «ГП № 10 МЗ УР» за счет её средств в порядке, установленным федеральным законом
3.9.5. Пациенты и их представители могут быть ознакомлены с документами БУЗ УР «ГП № 10 МЗ УР», устанавливающими порядок обработки персональных данных, а также об их правах и обязанностях в этой области
3.9.6. Во всех случаях отказ пациента от своих прав на сохранение и защиту тайны недействителен
IV. Передача персональных данных
4.1.При передаче персональных данных пациентов БУЗ УР «ГП № 10 МЗ УР» должна соблюдать следующие требования:
4.1.1.Не сообщать персональные данные пациента третьей стороне без письменного согласия пациента, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни здоровью пациента, а также в случаях, установленных федеральным законом
4.1.2.Не сообщать персональные данные пациента в коммерческих целях без его письменного согласия. Обработка персональных данных пациентов в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи допускается только с их письменного согласия
4.1.3.Предупредить лиц, получивших персональные данные пациента, о том, что эти данные могут быть использованы лишь в целях, для которых сообщены, и требовать от этих лиц подтверждение того, что это правило соблюдено. Лица, получившие персональные данные пациента, обязаны соблюдать режим секретности (конфиденциальности). Данное Положение не распространяется на обмен персональными данными пациентов, установленном федеральными законами
4.1.4.Осуществлять передачу персональных данных пациентов в пределах БУЗ УР «ГП № 10 МЗ УР» в соответствии с настоящим Положением
4.1.5.Разрешать доступ к персональным данным пациентов только специально уполномоченным лицам, при этом указанные лица должны иметь право получать только те персональные данные, которые необходимы для выполнения конкретной функции
4.2. Персональные данные пациентов обрабатываются и хранятся в следующих подразделениях БУЗ УР «ГП № 10 МЗ УР»: регистратура поликлиники, стационар дневного пребывания, акушерско-гинекологическое отделение, стоматологическое отделение, отделение лучевой диагностики, отделение ультразвуковой диагностики, клинико-диагностическая лаборатория, отделение участковой терапевтической службы, отделение восстановительного лечения, отделение функциональной диагностики, кабинет учета и медицинской статистики, кабинеты специалистов (невролог, офтальмолог, инфекционист, отоляринголог, уролог), 4.3.Персональные данные пациентов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде (посредством локальной компьютерной сети)
4.4. При получении персональных данных не от пациентов (за исключением случаев когда персональные данные являются общедоступными) БУЗ УР «ГП № 10 МЗ УР» до начала обработки таких персональных данных обязана предоставить пациенту следующую информацию:
- наименование (фамилию, имя, отчество) и адрес оператора или его представителя;
- цель обработки персональных данных и её правовое основание;
- предполагаемые пользователи персональных данных;
- установленные федеральными законами права субъекта персональных данных
V. Доступ к персональным данным пациентов
5.1.Право доступа к персональным данным пациентов имеют:
- главный врач БУЗ УР «ГП № 10 МЗ УР»;
- сотрудники БУЗ УР «ГП № 10 МЗ УР», допущенные к обработке персональных данных пациентов на основании утвержденного главным врачом ежегодно корректируемого списка и прошедшие необходимый инструктаж по правилам обращения с персональными данными пациентов (уполномоченные сотрудники)
5.2. Пациент БУЗ УР «ГП № 10 МЗ УР» имеет право:
5.2.1.Получать доступ к своим персональным данным и ознакомление с ними, включая право на безвозмездное получение копии любой записи, содержащей его персональные данные
5.2.2.Требовать от БУЗ УР «ГП № 10 МЗ УР» уточнения или исправления неполных, неверных, устаревших, недостоверных, незаконно полученных или не являющихся необходимыми для БУЗ УР «ГП № 10 МЗ УР» персональных данных
5.2.3.Получать от БУЗ УР «ГП № 10 МЗ УР»:
- сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
- перечень обрабатываемых персональных данных и источник их получения;
- сроки обработки персональных данных, в том числе сроки их хранения;
- сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных
5.2.4.Требовать извещения БУЗ УР «ГП № 10 МЗ УР» всех лиц, которым ранее были сообщены неверные или неполные персональные данные, обо всех произведенных в них исключениях, исправлениях или дополнениях
5.2.5.Обжаловать в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия БУЗ УР «ГП № 10 МЗ УР» при обработке и защите его персональных данных
5.3.Копировать и делать выписки персональных данных пациента разрешается исключительно в служебных целях с письменного разрешения руководителя соответствующего подразделения БУЗ УР «ГП № 10 МЗ УР»
5.4.Передача информации третьей стороне возможна только при письменном согласии пациентов, если иное не установлено федеральными законами.
VI. Ответственность за нарушение норм, регулирующих обработку персональных данных
6.1.Сотрудники БУЗ УР «ГП № 10 МЗ УР», виновные в нарушении порядка обращения с персональными данными, несут дисциплинарную административную, гражданско - правовую или уголовную ответственность в соответствии с федеральными законами
6.2.Главный врач БУЗ УР «ГП № 10 МЗ УР» за нарушение порядка обращения с персональными данными несет административную ответственности согласно ст. 5.27 и 5.39 Кодекса об административных правонарушениях БУЗ УР «ГП № 10 МЗ УР» возмещает пациенту ущерб, причиненный неправомерным использованием информации, содержащей персональные данные об этом пациенте