СЭКЦ им. Эрисмана

8 (495) 953-20-10   Москва, Старый Толмачевский пер., 3

Политика обработки персональных данных
в Обществе с ограниченной ответственностью «Санитарно-Эпидемиологический Консультационный Центр «ЭРИСМАН»

«УТВЕРЖДЕНО»

Приказом генерального директора ООО СЭКЦ «ЭРИСМАН»

Антоновой И.В. от «01» января 2018 года № 01

1. ВВЕДЕНИЕ

Настоящая Политика обработки персональных данных в Обществе с ограниченной ответственностью «Санитарно-Эпидемиологический Консультационный Центр им. Ф. Ф. Эрисмана» (СЭКЦ «ЭРИСМАН») (далее Политика) разработана в соответствии с Федеральным законом от 27.06.2006 года №152-ФЗ «О персональных данных», и определяет принципы обработки и защиты персональных данных пациентов СЭКЦ «ЭРИСМАН» (далее Общество).

Оказание медицинских лабораторных услуг, кроме самой процедуры выполнения анализов, предполагает обработку и хранение персональных данных клиентов в автоматизированных информационных системах СЭКЦ «ЭРИСМАН».

Общество выполнило комплекс технических и организационных мероприятий для обеспечения безопасности обрабатываемых и хранимых персональных данных пациентов и гарантирует соблюдение действующего законодательства Российской Федерации в области информационной безопасности, а также требований федерального закона от 27.06.2006 года №152-ФЗ «О персональных данных», основной целью которого является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

2. ОБРАБОТКА ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Цель обработки персональных данных

Целью сбора, обработки, хранения, а также других действий с персональными данными пациентов является исполнение обязательств компании перед клиентом по договору с ним.

2.2. Принципы обработки персональных данных

При обработке персональных данных Общество придерживается следующих принципов:

  • соблюдение законности получения, обработки, хранения, а также других действий с персональными данными;
  • обработка персональных данных исключительно с целью исполнения своих обязательств по договору оказания услуг;
  • сбор только тех персональных данных, которые минимально необходимы для достижения заявленных целей обработки;
  • выполнение мер по обеспечению безопасности персональных данных при их обработке и хранении;
  • соблюдение прав субъекта персональных данных на доступ к его персональным данным.

2.3. Состав персональных данных

В состав обрабатываемых персональных данных пациентов могут входить:

  • фамилия, имя, отчество;
  • пол;
  • дата рождения или возраст;
  • паспортные данные (для заполнения согласия на обработку персональных данных);
  • адрес проживания (для заполнения согласия на обработку персональных данных);
  • номер телефона, факса, адрес электронной почты (по желанию клиента);
  • другая информация, необходимая для правильного проведения и интерпретации медицинских исследований (необходима в некоторых случаях для установки правильных пограничных значений результатов);
  • результаты выполненных медицинских исследований (анализов).

Общество не обрабатывает персональные данные, касающиеся состояния здоровья пациента, за исключением случаев, когда их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов.

2.4. Сбор (получение) персональных данных

Персональные данные пациентов Общество получает только лично по договору с ними или их представителями. Персональные данные пациентов не проверяются Обществом.

В случае если пациент желает получать результаты исследований по электронной почте или по телефону, ему необходимо заполнить согласие на обработку (передачу) персональных данных по каналам общего пользования и(или) международного обмена, указав при этом адрес электронной почты, номер телефона, а также кодовое слово, которое необходимо будет сообщить сотруднику Общества при передаче результатов исследований по телефону.

2.5. Обработка персональных данных

Обработка персональных данных клиентов происходит как неавтоматизированным, так и автоматизированным способом.

К обработке персональных данных в Обществе допускаются только сотрудники прошедшие определенную процедуру допуска, к которой относятся:

  • ознакомление сотрудника с локальными нормативными актами компании (положения, инструкции и т.д.), строго регламентирующими порядок и процедуру работы с персональными данными клиентов;
  • взятие с сотрудника подписки о соблюдении конфиденциальности в отношении персональных данных клиентов при работе с ними.
  • получение сотрудником и использование в работе индивидуальных атрибутов доступа к информационным системам компании, содержащим в себе персональные данные клиентов. При этом каждому сотруднику выдаются минимально необходимые для исполнения трудовых обязанностей права на доступ в информационные системы. Сотрудники, имеющие доступ к персональным данным клиентов, получают только те персональные данные, которые необходимы им для выполнения конкретных трудовых функций.

2.6. Хранение персональных данных

Персональные данные пациентов хранятся в бумажном (договор, согласие на обработку персональных данных, бланки направлений) и электронном виде. В электронном виде персональные данные клиентов хранятся в информационных системах персональных данных компании, а также в архивных копиях баз данных этих систем. Порядок архивирования и сроки хранения архивных копий баз данных информационных систем персональных данных определены в инструкции о резервном копировании, которая является обязательной к исполнению администраторами соответствующих систем. При хранении персональных данных пациентов соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним. К ним относятся:

  • назначение подразделения или сотрудника ответственного за тот или иной способ хранения персональных данных;
  • ограничение физического доступа к местам хранения и носителям;
  • учет всех информационных систем и электронных носителей, а также архивных копий.

2.7. Передача персональных данных третьим лицам

Передача персональных данных третьим лицам возможна в исключительных случаях только с согласия пациента и только с целью исполнения обязанностей перед клиентом в рамках договора оказания услуг, кроме случаев, когда такая обязанность у Общества наступает в результате требований федерального законодательства или при поступлении запроса от уполномоченных государственных органов. В данном случае Общество ограничивает передачу персональных данных запрошенным объемом. При этом субъекту персональных данных направляется уведомление о факте передачи его персональных данных третьей стороне, если такое возможно.

Персональные данные клиента (в том числе результаты исследований) могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого клиента, за исключением случаев, когда передача персональных данных без его согласия допускается действующим законодательством РФ. В качестве такого разрешения могут выступать: нотариально заверенная доверенность; собственноручно написанная клиентом доверенность в присутствии сотрудника компании и им заверенная.

Общество уведомляет, что передает следующую информацию об исследованиях пациентов третьим лицам, согласно действующему законодательству:

Информацию о положительных результатах серологических исследований на маркеры парентеральных вирусных гепатитов из лабораторий, выполняющих данные исследования, независимо от ведомственной принадлежности и форм собственности, передаётся в ОРУИБ Центра Госсанэпиднадзора г. Москвы. (Приказ управления федеральной службы по надзору в сфере защиты прав потребителей и благополучия человека по городу Москве от 1 октября 2008 №122 «О мерах по совершенствованию эпиднадзора за вирусными гепатитами в г. Москве»).

Информацию о положительных результатах исследования на ВИЧ-инфекцию в лабораторное отделение МСГ СПИД (Москва, 8-я ул. Соколиной Горы, д. 15, к. 3) (Центр СПИДа). (Приказ Комитета Здравоохранения правительства Москвы и Центра Государственного Санитарно-Эпидемиологического надзора в г. Москве №159/64 от 13.04.2000 г. (приложение №3) «Об инструкции о порядке специального учёта инфекционных и паразитарных заболеваний в городе Москве».)

2.8. Меры по обеспечению безопасности персональных данных при их обработке

Обеспечение безопасности персональных данных достигается следующими мерами:

  • назначением сотрудника, ответственного за организацию обработки персональных данных;
  • проведением внутреннего аудита информационных систем Общества, содержащих персональные данные, проведением их классификации;
  • разработкой частной модели угроз безопасности персональных данных;
  • назначением для каждой информационной системы ответственного администратора;
  • определением списка лиц, допущенных к работе с персональными данными;
  • разработкой и утверждением локальных нормативных актов компании, регламентирующих порядок обработки персональных данных. Разработкой для операторов и администраторов информационных систем рабочих инструкций;
  • реализацией технических мер, снижающих вероятность реализаций угроз безопасности персональных данных;
  • проведением периодических проверок состояния защищенности информационных систем Общества.

3. ПРАВА СУБЪЕКТА ПЕРСОНАЛЬНЫХ ДАННЫХ

Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:

  • подтверждение факта обработки персональных данных;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые способы обработки персональных данных;
  • сведения о лицах (за исключением сотрудников Общества), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора или на основании федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • порядок осуществления субъектом персональных данных своих прав;

Получить данную информацию пациент может, обратившись с письменным запросом в Общество. Ответ направляется по адресу, указанному в запросе, в течении 30 дней.

Получить доступ к своим персональным данным (в том числе результатам исследований) клиент может в любой момент через личный кабинет официального сайта компании.

4. ОТВЕТСТВЕННОСТЬ

Работники Общества, виновные в нарушении нормативных правовых актов и локальных нормативных актов Общества, регулирующих процессы обработки и защиты ПДн, могут быть привлечены к дисциплинарной, материальной, гражданско-правовой, административной, уголовной ответственности в порядке, установленном действующим законодательством.