Положение о защите персональных данных
Утверждено Генеральным директором ООО «Миладент» Токаревой Л.А. «12» апреля 2025 г.
Положение о защите персональных данных в стоматологической клинике ООО «Миладент» при использовании медицинской информационной системы (МИС) должно соответствовать требованиям Федерального закона №152-ФЗ «О персональных данных», Федерального закона №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», приказа Минздрава №911н и другим нормативным актам. Документ должен регулировать порядок обработки, хранения, передачи и защиты персональных данных пациентов с учётом особенностей работы с МИС.
1. Общие положения
1.1 Цель Положения — обеспечение защиты персональных данных пациентов при их обработке, хранении и передаче в клинике с использованием МИС в соответствии с законодательством РФ.
1.2 Основания разработки: Конституция РФ; Федеральный закон №152-ФЗ; Федеральный закон №323-ФЗ; приказ Минздрава №911н; постановление Правительства №1236 и другие нормативные акты.
1.3 Термины:
- Персональные данные — любая информация, относящаяся к прямо или косвенно идентифицируемому пациенту.
- МИС — медицинская информационная система, используемая для сбора, хранения, обработки и передачи данных.
- Оператор — клиника ООО «Миладент» как субъект, организующий и осуществляющий обработку персональных данных.
1.4 Принцип конфиденциальности: персональные данные пациентов являются конфиденциальной информацией и не могут использоваться в личных целях. Режим конфиденциальности снимается в случаях обезличивания данных или по истечении срока хранения, если иное не предусмотрено законом.
2. Категории обрабатываемых данных
2.1. В МИС могут обрабатываться: общие данные (ФИО, дата рождения, адрес, контактные телефоны, реквизиты полиса ОМС, СНИЛС и т. д.); специальные данные, составляющие врачебную тайну (диагноз, результаты обследований, виды и условия оказания медпомощи, планы лечения и т. д.).
3. Требования к медицинской информационной системе
3.1. МИС должна соответствовать следующим требованиям: располагаться на территории РФ; использовать сертифицированные ФСБ и ФСТЭК средства защиты информации; иметь функцию резервного копирования данных; фиксировать действия в системе; интегрироваться с ЕГИСЗ (Единая государственная информационная система в сфере здравоохранения); поддерживать работу с электронными подписями.
4. Меры защиты информации
4.1. Для обеспечения безопасности данных применяются:
Организационные меры:
назначение ответственного за защиту персональных данных с утверждением приказом; разработка регламентов доступа к данным, инструкций, политик безопасности; обучение сотрудников по вопросам информационной безопасности; регулярный аудит ИБ (информационной безопасности); создание плана реагирования на инциденты.
Технические меры:
использование антивирусного ПО, сертифицированного ФСТЭК; средства защиты от несанкционированного доступа (идентификация, аутентификация, разграничение прав доступа); криптографическая защита при передаче данных; защита конечных точек (компьютеров, серверов) от вредоносного ПО; физическая защита серверов и носителей информации (замки, видеонаблюдение, сигнализация).
5. Доступ к данным
5.1. Доступ к персональным данным в МИС предоставляется только уполномоченным сотрудникам в соответствии с их должностными обязанностями. Перед получением доступа сотрудники подписывают обязательство о неразглашении информации. Права доступа настраиваются в системе с учётом принципа «минимальной необходимости» — сотрудник получает доступ только к тем данным, которые требуются для выполнения конкретных функций.
6. Передача данных
6.1. Передача персональных данных третьим лицам допускается только при наличии письменного согласия пациента, за исключением случаев, предусмотренных законом (например, при угрозе жизни и здоровью пациента, по запросу органов дознания, суда и т. д.).
При передаче данных клиника обязана предупредить получателя о целях использования информации и потребовать подтверждения соблюдения конфиденциальности. Передача данных в электронном виде осуществляется по защищённым каналам с применением средств криптографии.
7. Права пациентов
7.1. Пациенты имеют право: получать информацию о своих персональных данных, способах их обработки и хранения; требовать исправления или удаления неверных или неполных данных; определять представителей для защиты своих данных; получать копии записей, содержащих их персональные данные (за исключением случаев, предусмотренных законом).
8. Ответственность
8.1. Лица, получившие доступ к персональным данным, несут дисциплинарную, административную или уголовную ответственность за их разглашение в соответствии с законодательством РФ.
9. Порядок уничтожения данных
9.1. Персональные данные уничтожаются по достижении целей обработки или при утрате необходимости в их дальнейшем использовании, если иное не предусмотрено федеральным законодательством.
10. Контроль и аудит
10.1. Клиника регулярно проводит аудит информационной системы на предмет соответствия требованиям безопасности. Информация об инцидентах, связанных с персональными данными, передаётся в Государственную систему обнаружения и предотвращения компьютерных атак (ГосСОПКА).
10.2. Положение должно регулярно обновляться с учётом изменений в законодательстве и технологических новшеств. Конкретные детали реализации мер защиты могут уточняться в дополнительных внутренних документах клиники (приказах, регламентах, соглашениях).