Приложение № 1
к Приказу № 27
от «10» февраля 2018г.

Общество с ограниченной ответственностью «РУСАВИАМЕД»
Принято приказом № 27 от «10» февраля 2018 г.

«УТВЕРЖДАЮ»
Зам. генерального директора
ООО«РУСАВИАМЕД»
И.Н. Рублевская

ПОЛОЖЕНИЕ
О КОНФИДЕНЦИАЛЬНОЙ ИНФОРМАЦИИ

ОБЩИЕ ПОЛОЖЕНИЯ

Положение о конфиденциальной информации (далее Положение) разработано с целью защиты персональных данных пациентов ООО «РУСАВИАМЕД» на случай раскрытия (передачи) информации, которая не предназначена для широкого распространения.

1.2 Перечень сведений, которые относятся к конфиденциальной информации, указан в Пункте № 2 настоящего Положения: состав информации ограниченного доступа.

1.3 Положение определяет общий порядок обращения в ООО «РУСАВИАМЕД» с документами на различных носителях, в том числе и электронными документами и сообщениями (далее – документами), содержащими конфиденциальную информацию.

1.4 Настоящее Положение определяет порядок получения, обработки использования и защиты информации ограниченного доступа ООО «РУСАВИАМЕД» на основе законодательных и нормативных актов Российской Федерации:

  1. Конституция РФ от 12 декабря 1993 г. (ст. 2, 17-24, 41);
  2. часть 1 и 2, часть 4 Гражданского кодекса РФ;
  3. Трудовой кодекс Российской Федерации;
  4. Указ Президента РФ от 06 марта 1997 г. № 188 (ред. от 23 сентября 2005 г.) «Об утверждении перечня сведений конфиденциального характера»;
  5. Федеральный закон от 30 марта 1999 г. № 52-ФЗ «О санитарно-эпидемиологическом благополучии населения» (ред. от 30 декабря 2008 г.);
  6. Федеральный закон от 02 мая 2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации»;
  7. Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
  8. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
    Федеральный закон Российской Федерации от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»;
  9. Постановление Правительства Российской Федерации от 21 марта 2012 г. № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
  10. Постановление Правительства Российской Федерации от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
  11. Постановление Правительства Российской Федерации от 17 ноября 2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»;
  12. Регламентирующие документы ФСТЭК России и ФСБ России об обеспечении безопасности персональных данных:
  13. Приказ ФСТЭК РФ № 55, ФСБ РФ № 86, Мининформсвязи РФ № 20 от 03 февраля 2008 г. «Об утверждении Порядка проведения классификации информационных систем персональных данных» (Зарегистрировано в Минюсте РФ 03 апреля 2008 г. № 11462);
  14. Приказ ФСТЭК РФ от 05 февраля 2010 г. № 58 «Об утверждении Положения о методах и способах защиты информации в информационных системах персональных данных» (Зарегистрировано в Минюсте РФ 19 февраля 2010 г. № 16456);
  15. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (утв. ФСТЭК РФ 14 февраля 2008 г.);
  16. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (Выписка) (утв. ФСТЭК РФ 15 февраля 2008 г.);
  17. Лицензии на осуществление медицинской деятельности;
  18. Устав ООО «РУСАВИАМЕД»;

1.5. Основные понятия.

  • Информация ограниченного доступа ООО «РУСАВИАМЕД» – профессиональная (медицинская) тайна и конфиденциальные персональные данные пациентов ООО «РУСАВИАМЕД»
  • Режим конфиденциальности – принятие правовых, организационных и технических мер, направленных на исключение и ограничение свободного доступа к информации неуполномоченных лиц.
  • Медицинская тайна – это информация о состоянии здоровья пациента, полученная при его обращении за медицинской помощью, в процессе обследования и лечения, в отношении которой введен режим конфиденциальности.
  • Персональные данные пациента – это любая информация о пациенте и членах его семьи, полученная при обращении за медицинской помощью, обследовании и лечении.
  • Неуполномоченное лицо – лицо, не имеющее допуска к информации.
  • Допуск к информации – это разрешение на ознакомление и использование информации, составляющей медицинскую тайну и персональные данные пациента.
  • Доступ к информации – это возможность ознакомления и использования информации, составляющей медицинскую тайну и персональные данные пациента.
  • Обладатель информации ограниченного доступа – ООО «РУСАВИАМЕД» или иное лицо, которому принадлежит или которого касается данная информация.
  • Субъект персональных данных – пациент в отношении своих персональных данных.
  • Общедоступные персональные данные – персональные данные, к которым пациентом предоставлен доступ неограниченного круга лиц или на которые в соответствии с законом не распространяется требование о сохранении конфиденциальности.

1.3. Настоящее положение обязательно для всех работников ООО «РУСАВИАМЕД», получающих доступ к сведениям, составляющим медицинскую тайну и персональные данные пациентов.

1.4. Настоящее положение вступает в силу с момента его принятия и применяется к отношениям, возникшим после введения его в действие.

СОСТАВ ИНФОРМАЦИИ ОГРАНИЧЕННОГО ДОСТУПА

2.1. В соответствии с законодательством медицинскую тайну составляют сведения:

– о факте обращения пациента за медицинской помощью;
– о состоянии здоровья пациента;
– о диагнозе заболевания пациента;
– др. сведения, полученные при обследовании и лечении пациента.

2.2. К персональным данным пациентов относятся фамилия, имя, отчество, дата рождения, адрес и место жительства, паспортные данные, номер телефона, сведения о членах семьи пациента и другая информация о пациенте, полученная при обследовании и оказании медицинской помощи.

2.3. В режиме конфиденциальности сохраняются все персональные данные пациента, за исключением общедоступных данных.

МЕРЫ, ПРИНИМАЕМЫЕ ДЛЯ ЗАЩИТЫ ИНФОРМАЦИИ ОГРАНИЧЕННОГО ДОСТУПА

3.1. В целях установления режима конфиденциальности сведений, составляющих медицинскую тайну и персональные данные ООО «РУСАВИАМЕД» принимает следующие меры:

1) Осуществляет разработку локальных нормативных актов и инструкций по обеспечению защиты информации ограниченного доступа и регламентации конфиденциального делопроизводства;
2) Обеспечивает ограничение доступа к сведениям, составляющим медицинскую тайну и персональные данные;
3) Организует работу персонала с информацией ограниченного доступа, в том числе с материальными носителями такой информации;
4) Принимает необходимые технические меры, направленные на ограничение доступа посторонних лиц к сведениям, составляющим медицинскую тайну и персональные данные.

3.2. К лицам, обязанным обеспечивать конфиденциальность сведений, составляющих медицинскую тайну и персональные данные пациентов, относятся:

медицинский персонал ООО «РУСАВИАМЕД», включая врачей, средний и младший медицинский персонал, а также лиц, проходящих стажировку и обучение;
иные лица, получившие доступ к сведениям, составляющим медицинскую тайну и персональные данные пациентов, при осуществлении своей трудовой функции.

3.3. Допуск к информации ограниченного доступа включает в себя:

1) Ознакомление работника с законодательством о защите медицинской тайны и персональных данных, об ответственности за его нарушение и с локальными нормативными актами о защите информации ограниченного доступа ООО «РУСАВИАМЕД»;

2) Принятие работником на себя обязанности по обеспечению конфиденциальности информации, полученной при осуществлении своей трудовой функции в ООО «РУСАВИАМЕД», а также после прекращения трудовых отношений на период действия режима конфиденциальности данных сведений;

3.4. Для получения доступа к медицинской тайне и персональным данным необходимо пройти процедуру допуска.

Процедура допуска осуществляется администрацией ООО «РУСАВИАМЕД» до подписания трудового договора.

3.5. В трудовое договоры лиц, принимаемых на работу, связанную с получением, обработкой, хранением, передачей и использованием информации ограниченного доступа, включается условие об обеспечении конфиденциальности таких сведений.

Обязанности работника об обеспечении зашиты информации ограниченного доступа оформляются также обязательством о неразглашении конфиденциальной информации.

ОБЯЗАННОСТИ РАБОТНИКОВ

4.1. Работники ООО «РУСАВИАМЕД», получившие доступ к медицинской тайне и персональным данным пациентов обязуются обеспечивать конфиденциальность таких сведений.

4.2. Обеспечивая конфиденциальность, работник обязуется:

1) Знать и соблюдать требования по получению, обработке, передаче, хранению, получению сведений, составляющих профессиональную тайну и персональные данные пациентов, предусмотренные нормативными правовыми актами, коллективным договором, соглашениями, должностной инструкцией, локальными нормативными актами ООО «РУСАВИАМЕД» и трудовым договором;
2) Принимать меры по установлению и сохранению режима конфиденциальности, предусмотренные нормативными правовыми актами, коллективным договором, соглашениями, должностной инструкцией, локальными нормативными актами ООО «РУСАВИАМЕД» и трудовым договором;
3) Не использовать без разрешения обладателя или субъекта персональных данных информацию ограниченного доступа в целях, не связанных с осуществлением трудовой функции;
4) Не разглашать сведения, составляющие медицинскую тайну и персональные данные пациентов, а также не совершать иных деяний, влекущих уничтожение или утрату таких сведений (их материальных носителей) или потерю ее коммерческой или иной ценности для ее обладателя;
5) Незамедлительно сообщать об утрате или несанкционированном уничтожении сведений, составляющих медицинскую тайну и персональные данные пациента, своему непосредственному руководителю, а также об иных обстоятельствах, создающих угрозу сохранения конфиденциальности таких сведений (в том числе о попытках неправомерного доступа к информации со стороны неуполномоченных лиц).

4.3. При прекращении трудовых отношений с ООО «РУСАВИАМЕД» работник обязан сдать все материальные носители сведений, содержащие медицинскую тайну и персональные данные пациентов, а также ключи от помещений и шкафов, в которых они хранятся.

ТРЕБОВАНИЯ ПО ПОЛУЧЕНИЮ, ОБРАБОТКЕ, ХРАНЕНИЮ И ИСПОЛЬЗОВАНИЮ ИНФОРМАЦИИ ОГРАНИЧЕННОГО ДОСТУПА

5.1. Обработка и хранение сведений, составляющих медицинскую тайну и персональные данные пациентов, осуществляется в таком порядке и таким способом, которые исключают возможность доступа к ней неуполномоченных лиц.

Обработка персональных данных пациентов осуществляется с их согласия, за исключением обработки персональных данных, осуществляемой:

– в целях исполнения договора об оказании платных медицинских услуг, стороной которого является пациент;
– в статистических или иных научных целях в отношении обезличенных персональных данных пациента;
– в иных случаях, установленных федеральным законом.

5.2. Во время приема пациента не допускается нахождение на рабочем столе медицинских документов (амбулаторных карт, карты стационарного больного, результатов анализов и т.п.), не относящихся к принимаемому в данный момент пациенту.

5.3. Не допускается сообщение сведений о состоянии здоровья пациента, диагнозе его заболевания и др. сведений о пациенте с использованием средств связи (телефон, факс, интернет и т.п.).

5.4. Не допускается сообщение диагноза заболевания, его прогноза и лечения и др. персональных данных пациента не уполномоченным лицам. Сообщение указанной информации в доступной форме возможно только самому пациенту, а также его законным представителям в предусмотренных законом случаях (несовершеннолетний возраст пациента, недееспособности пациента).

В других случаях передача сведений, составляющих медицинскую тайну и персональные данные пациента, другим лицам допускается только с согласия пациента или его законного представителя, в интересах обследования и лечения пациента, для проведения научных исследований, публикации в научной литературе, использования этих сведений в учебном процессе и в иных целях.

5.4.1. Предоставление сведений, составляющих медицинскую тайну, без согласия пациента или его законного представителя иным лицам допускается:

1) в целях обследования и лечения гражданина, не способного из-за своего состояния выразить свою волю;

2) при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;

3) По запросу органов дознания и следствия и суда в связи с проведением расследования или судебным разбирательством;

4) В случае оказания помощи несовершеннолетнему для информирования его родителей или законных представителей;

5) При наличии оснований, позволяющих полагать, что вред здоровью гражданина причинен в результате противоправных действий;

5.4.2. При передаче персональных данных пациентов третьим лицам должны быть соблюдены следующие требования:

1) Персональные данные предоставляются только с письменного согласия пациента, за исключением случаев, предусмотренных федеральным законом;

2) Предупреждение лиц, получивших доступ к персональным данным пациента о возможности использования сведений только в установленных целях и об ответственности за нарушение законодательства в этой сфере;

3) соблюдение режима конфиденциальности получателями.

5.5. Не допускается передача и выдача документов, содержащих медицинскую тайну и персональные данные пациента, неуполномоченным лицам.

Передача соответствующих документов в регистратуру возможна только самим лечащим врачом или медицинским персоналом, имеющим допуск к такой информации.

5.6. При регистрации пациента и выдачи документов, касающихся состояния его здоровья, также должна обеспечиваться конфиденциальность.

5.7. Хранение сведений, составляющих медицинскую тайну и персональные данные пациентов, осуществляется в порядке, исключающем их утрату, неправомерное использование или получение доступа неуполномоченными лицами.

Амбулаторные карты подлежат сдаче в регистратуру для их последующего хранения. Карты стационарного больного сдаются в медицинский архив. Не допускается доступ в помещение регистратуры и медицинский архив неуполномоченных лиц. Двери помещения регистратуры и медицинского архива после окончания рабочего дня запираются. В течение рабочего дня не допускается оставлять помещение регистратуры и медицинского архива открытым.

Все медицинские документы, результаты анализов должны храниться в шкафах, оборудованных замками и закрытых помещениях.

5.8. Использование сведений, составляющих медицинскую тайну или персональные данные пациентов, допускается только в целях обследования и лечения пациентов в ООО «РУСАВИАМЕД».

Не допускается использовать информацию о пациентах за пределами рабочего времени и (или) в целях, не связанных с осуществлением своих трудовых обязанностей в ООО «РУСАВИАМЕД», а также после прекращения трудовых отношений с ООО «РУСАВИАМЕД».

ОРГАНИЗАЦИЯ КОНФИДЕНЦИАЛЬНОГО ДЕЛОПРОИЗВОДСТВА

6.1. Все документы, содержащие информацию ограниченного доступа, должны сохраняться в режиме конфиденциальности и быть доступными только тем лицам, которые имеют допуск к таким сведениям в силу исполнения ими своих должностных обязанностей.

Организация конфиденциального делопроизводства должна исключать ознакомление с информацией иных лиц, не имеющих такого доступа.

6.2. Все документы пациентов, содержащие медицинскую тайну, сохраняются в режиме конфиденциальности.

6.3. Документы и иные материальные носители, содержащие медицинскую тайну и персональные данные пациента, хранятся в сейфе или ином закрытом помещении, приспособлении, к которому отсутствует свободный доступ других лиц.

6.4. При работе с документами, запрещено:
делать выписки в целях, не связанных с оказанием медицинской помощи пациенту или не связанных с осуществлением трудовой функции;
знакомить с такими документами, в том числе в электронном виде других лиц, не имеющих соответствующего доступа;
использовать информацию из таких документов в открытых сообщениях, докладах, переписке, рекламных изданиях (такое использование допускается только при условии обезличивания информации);
оставлять на рабочем месте документы и иные носители информации;
не допускать к компьютерам, содержащим персональные данные пациентов и медицинскую тайну, посторонних лиц;
не оставлять включенными компьютеры, содержащие персональные данные пациентов и медицинскую тайну.

ОТВЕТСТВЕННОСТЬ ЗА НАРУШЕНИЕ РЕЖИМА КОНФИДЕНЦИАЛЬНОСТИ

7.1. К способам нарушения режима конфиденциальности относятся:

разглашение информации, составляющей медицинскую тайну и персональные данные пациентов;
неправомерное использование информации, составляющей медицинскую тайну и персональные данные пациентов (использование без согласия субъекта и (или) в целях, не связанных с оказанием медицинской помощи пациенту в ООО «РУСАВИАМЕД»);
утрата документов и иных материальных носителей сведений, составляющих медицинскую тайну или персональные данные пациентов (амбулаторных карт, результатов анализов и обследования, дискет, дисков и т.д.);
неправомерное уничтожение документов, содержащих медицинскую тайну и персональные данные пациентов;
нарушение требования хранения документов, содержащих медицинскую тайну и персональные данные пациентов (хранение в открытом доступе, оставление на рабочем столе и т.д.);
передача документов и сведений, составляющих медицинскую тайну и персональные данные неуполномоченным лицам;
другие нарушения требований законодательства и настоящего Положения об обеспечении конфиденциальности информации ограниченного доступа.

7.2. Нарушение требований законодательства об обеспечении конфиденциальности влечет наступление уголовной, административной, дисциплинарной, материальной и гражданско-правовой ответственности. Уголовная, административная и гражданско-правовая ответственность наступает в установленных законом случаях.

7.3. Разглашение медицинской тайны может являться основанием для расторжения трудового договора с работниками ООО «РУСАВИАМЕД» по подпункту «в» пункта 6 части первой статьи 81 Трудового кодекса Российской Федерации.

Совершение иных нарушений режима конфиденциальности, перечисленных в п. 7.1. настоящего Положения, влечет применение иных мер дисциплинарной ответственности (замечание, выговор).

Неоднократное нарушение требований режима конфиденциальности может послужить основанием для прекращения трудового договора по пункту 5 части первой статьи 81 Трудового кодекса Российской Федерации.