Для исполнения настоящей Политики Оператором утверждены следующие локальные нормативные правовые акты:

1. Приказ о назначении ответственных   лиц  за  работу с   персональными данными сотрудников, за компьютерную обработку персональных данных пациентов, за обеспечением информационной безопасности.
2. Перечень  должностей,  работников, допущенных к обработке персональных данных.
3. Порядок доступа работников Оператора к сведениям конфиденциального характера.
4. Перечень обрабатываемых персональных данных.
5. Модель угроз безопасности персональных данных при их обработке в информационной системе персональных данных. 
6. Акты классификации информационных систем персональных данных.

Обработка персональных данных пациентов Оператора осуществляется для решения следующих задач:

1. Осуществление расчетов с ФОМС и страховыми организациями за оказание медицинских услуг застрахованным.
2. Формирования отчетов по поликлинике.
3. Назначение и начисление счетов на оказание услуг и иных выплат.
4. Бухгалтерский учет и контроль финансово-хозяйственной деятельности Оператора и исполнения финансовых обязательств по заключенным договорам.
5. Обработка амбулаторных карт (в т.ч. в электронной форме).
6. Поддержание контактов с законными представителями субъекта персональных данных.
7. Проведение лечебно-профилактических мероприятий.

Принципы обработки персональных данных

При обработке персональных данных ГБУЗ «ГП №3» придерживается следующих принципов:

• соблюдение законности получения, обработки, хранения, а так же других действий с персональными данными;
• обработка персональных данных исключительно с целью исполнения своих обязательств по договору оказания услуг, а также по трудовому договору;
• сбор только тех персональных данных, которые минимально необходимы для достижения заявленных целей обработки;
• выполнение мер по обеспечению безопасности персональных данных при их обработке и хранении;
• соблюдение прав субъекта персональных данных на доступ к его персональным данным;
• соответствие сроков хранения персональных данных заявленным целям обработки.

Конфиденциальность персональных данных

Работники организации и иные лица, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

Состав персональных данных

В состав обрабатываемых в компании персональных данных пациентов и работников могут входить:

• фамилия, имя, отчество;
• пол;
• дата рождения или возраст;
• паспортные данные ;
• адрес проживания;
• номер телефона, факса, адрес электронной почты (по желанию);
• информация о состоянии здоровья;
• другая информация, необходимая для правильного проведения и интерпретации медицинских исследований;
• результаты выполненных медицинских исследований;
• другая информация, необходимая для выполнения обязательств организации в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях, законодательством об обязательных видах страхования, со страховым законодательством.

Организация осуществляет обработку данных о состоянии здоровья работников организации в соответствии с трудовым законодательством Российской Федерации.

Сбор (получение) персональных данных

Персональные данные пациентов организация получает только лично от пациента или от его законного представителя. Персональные данные пациента могут быть получены с его слов и не проверяются.

Обработка персональных данных

Обработка персональных данных в организации происходит как неавтоматизированным, так и автоматизированным способом.

К обработке персональных данных в организации допускаются только сотрудники прошедшие определенную процедуру допуска, к которой относятся:

• ознакомление сотрудника с локальными нормативными актами организации (положения, инструкции и т.д.), строго регламентирующими порядок и процедуру работы с персональными данными;
• взятие с сотрудника подписки о соблюдении конфиденциальности в отношении персональных данных при работе с ними.
• получение сотрудником и использование в работе индивидуальных атрибутов доступа к информационным системам компании, содержащим в себе персональные данные.

При этом каждому сотруднику выдаются минимально необходимые для исполнения трудовых обязанностей права на доступ в информационные системы.

Сотрудники, имеющие доступ к персональным данным, получают только ту информацию, которая необходима им для выполнения конкретных трудовых функций.

Хранение персональных данных

Персональные данные пациентов хранятся в бумажном ( амбулаторная карта, бланки направлений, результаты обследований) и электронном виде. В электронном виде персональные данные пациентов хранятся в информационной системе персональных данных организации, а так же в архивных копиях баз данных этих систем. Порядок архивирования и сроки хранения архивных копий баз данных информационной системы персональных данных организации определены в инструкции о резервном копировании, которая является обязательной для исполнения администраторами соответствующей системы.

При хранении персональных данных пациентов и работников соблюдаются организационные и технические меры, обеспечивающие их сохранность и исключающие несанкционированный доступ к ним. К ним относятся:

• назначение сотрудника ответственного за тот или иной способ хранения персональных данных;
• ограничение физического доступа к местам хранения и носителям;
• учет всех информационных систем и электронных носителей, а так же архивных копий.

Передача персональных данных третьим лицам

Передача персональных данных третьим лицам возможна в исключительных случаях только с согласия пациента и только с целью исполнения обязанностей перед пациентом в рамках оказания услуг, кроме случаев, когда такая обязанность у организации наступает в результате требований федерального законодательства или при поступлении запроса от уполномоченных государственных органов. В данном случае компания ограничивает передачу персональных данных запрошенным объемом.

Персональные данные пациента (в том числе результаты исследований) могут быть предоставлены родственникам или членам его семьи только с письменного разрешения самого пациента, за исключением случаев, когда передача персональных данных без его согласия допускается действующим законодательством РФ. В качестве такого разрешения может выступать нотариально заверенная доверенность.

Сведения о третьих лицах, участвующих в обработке персональных данных

1. В целях соблюдения законодательства РФ, для достижения целей обработки, а также в интересах и с согласия субъектов персональных данных Оператор в ходе своей деятельности предоставляет персональные данные следующим организациям:

1.1. Федеральной налоговой службе.

1.2. Пенсионному фонду Российской Федерации.

1.3. Фонду медицинского страхования Республики Карелия.

1.4. Страховым медицинским организациям.