Политика безопасности

      Comments Off on Политика безопасности

ПОЛИТИКА В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

БУЗ ОРЛОВСКОЙ ОБЛАСТИ «МЦЕНСКАЯ ЦРБ»
Введение
          БУЗ Орловской области «Мценская ЦРБ» осуществляет свою деятельность в соответствии с законодательством Российской Федерации по направлениям, обозначенным в полученных лицензиях на осуществление медицинской деятельности. Оказание медицинских услуг предполагает обработку и хранение персональных данных пациентов в «Формирование счетов» от АО “ВТБ Медицинское страхование”. В соответствии с законодательством Больницей выполнен комплекс с технических и организационных мероприятий для обеспечения безопасности обрабатываемых и хранимых персональных данных. Одна из приоритетных задач в работе организации – соблюдение действующего законодательства Российской Федерации в области информационной безопасности, а так же требований федерального закона от 27.06.2006 года №152-ФЗ «О персональных данных», основной целью которого является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.

Цель обработки персональных данных
Целью обработки, включая сбор, запись, систематизацию, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, является оказание медицинских услуг и исполнение обязательств Больницы перед пациентом по договору с ним, связь с пациентом в случае необходимости, а также выполнение условий трудового договора с работниками Больницы в соответствии с законодательством.

Принципы обработки персональных данных
При обработке персональных данных БУЗ Орловской области «Мценская ЦРБ» придерживается следующих принципов:
• соблюдение законности получения, обработки, хранения, а так же других действий с персональными данными;
• обработка персональных данных исключительно с целью исполнения своих обязательств по договору оказания услуг, а также по трудовому договору;
• сбор только тех персональных данных, которые минимально необходимы для достижения заявленных целей обработки;
• выполнение мер по обеспечению безопасности персональных данных при их обработке и хранении;
• соблюдение прав субъекта персональных данных на доступ к его персональным данным;
• соответствие сроков хранения персональных данных заявленным целям обработки.
Конфиденциальность персональных данных
Работники Больницы и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом. Состав персональных данных В состав обрабатываемых в компании персональных данных пациентов и работников могут входить:
– фамилия, имя, отчество;
-пол;
– дата рождения или возраст;
-паспортные данные;
– адрес проживания; · номер телефона, факса, адрес электронной почты (по желанию);
-информация о состоянии здоровья;
– другая информация, необходимая для правильного проведения и интерпретации медицинских исследований;
-другая информация, необходимая для выполнения своих обязательств БУЗ Орловской области «Мценская ЦРБ» осуществляет обработку данных о состоянии здоровья пациентов в целях оказания медицинских услуг, установления медицинского диагноза при этом обработка персональных данных осуществляется лицами, профессионально занимающимися медицинской деятельностью и обязанными в соответствии с законодательством Российской Федерации сохранять врачебную тайну. Больница осуществляет обработку данных о состоянии здоровья работников в соответствии с трудовым законодательством Российской Федерации.

Сбор (получение) персональных данных
Персональные данные пациентов организация получает только лично от пациента или от его законного представителя. Персональные данные пациента могут быть получены с его слов и не проверяются.

Обработка персональных данных
Обработка персональных данных в организации происходит как не автоматизированным, так и автоматизированным способом. К обработке персональных данных в организации допускаются только работники прошедшие определенную процедуру допуска, к которой относятся:
-ознакомление работника с нормативными документами актами Больницы (положения, инструкции и т.д.), строго регламентирующими порядок и процедуру работы с персональными данными;
– взятие с работника подписки о соблюдении конфиденциальности в отношении персональных данных при работе с ними. Получение работником и использование в работе индивидуальных атрибутов доступа к информационным системам, содержащим в себе персональные данные.
При этом каждому работнику выдаются минимально необходимые для исполнения трудовых обязанностей права на доступ в информационные системы. Работники, имеющие доступ к персональным данным, получают только ту информацию, которая необходима им для выполнения конкретных трудовых функций.

Хранение персональных данных
Персональные данные пациентов хранятся в бумажном и электронном виде. В электронном виде персональные данные пациентов хранятся в информационной системе персональных данных Больницы, а так же в архивных копиях баз данных этих систем. Порядок архивирования и сроки хранения архивных копий баз данных информационной системы персональных данных Больницы определены в инструкции о резервном копировании, которая является обязательной для исполнения администраторами соответствующей системы. При хранении персональных данных пациентов и работников соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним. К ним относятся:
– назначение сотрудника ответственного за тот или иной способ хранения персональных данных;
-ограничение физического доступа к местам хранения и носителям;
-учет всех информационных систем и электронных носителей, а так же архивных копий.

Передача персональных данных третьим лицам
Передача персональных данных третьим лицам возможна в исключительных случаях только с письменного согласия пациента, кроме случаев, когда такая обязанность у Больницы наступает в результате требований федерального законодательства.

Меры по обеспечению безопасности персональных данных при их обработке
 Обеспечение безопасности персональных данных в Больнице достигается следующими мерами:
– назначением работника, ответственного за организацию обработки персональных данных;
– проведением внутреннего аудита информационной системы организации, содержащей персональные данные, проведением их классификации;
– разработкой частной модели угроз безопасности персональных данных;
– определением списка лиц, допущенных к работе с персональными данными;
– разработкой и утверждением локальных нормативных актов организации, регламентирующих порядок обработки персональных данных. Разработкой для администраторов информационной системы рабочих инструкций;
-реализацией технических мер, снижающих вероятность реализаций угроз безопасности персональных данных;
– проведением периодических проверок состояния защищенности информационной системы организации.

Права пациента
Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
-подтверждение факта обработки персональных данных;
-правовые основания и цели обработки персональных данных;
-цели и применяемые способы обработки персональных данных;
-сведения о лицах (за исключением работников организации), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора или на основании федерального закона;
-обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения;
-сроки обработки персональных данных, в том числе сроки их хранения;
– порядок осуществления субъектом персональных данных своих прав;
Соответствующая информация предоставляется субъекту персональных данных или его представителю при обращении либо при получении запроса субъекта персональных данных или его законного представителя. Запрос должен быть составлен в соответствии с требованиями законодательства.Настоящая Политика обработки персональных данных действует в отношении всей информации, которую администрация БУЗ Орловской области «Мценская ЦРБ» может получить о пользователе во время использования им сервисов сайта. Использование сервисов сайта означает безоговорочное согласие пользователя с настоящей Политикой и указанными в ней условиями обработки его персональной информации; в случае несогласия с этими условиями пользователь должен воздержаться от использования сервисов сайта.