Надання медпослуг передбачає обробку, а також зберігання персональних даних (Далі – ПД) клієнтів у автоматизованих системах клініки. Згідно з чинним законом «Про персональні дані», ФОП Журба Наталія Олегівна реалізувала широкий спектр технічних, а також організаційних заходів, щоб забезпечувати безпеку та конфіденційність оброблюваних, а також збережених ПД клієнтів.
Мета обробки ПД.
Ми збираємо, обробляємо, зберігаємо та виконуємо інші дії з ПД клієнтів для виконання своїх зобов’язань перед ними.
Принципи обробки ПД.
- законність отримання, обробки, зберігання та інших дій з ПД;
- реалізація вимог щодо забезпечення безпеки та конфіденційності ПД, а також відомостей, що становлять лікарську таємницю;
- ПД обробляються тільки для реалізації зобов’язань компанії згідно з договором надання послуг;
- дотримання прав суб’єкта ПД на доступ до них.
Склад ПД.
Склад ПД клієнтів, які обробляються компанією, може включати:
- ПІБ;
- підлога;
- рік та дату народження;
- паспортні дані;
- адреса проживання;
- телефонний номер;
- інші відомості, необхідні для коректного виконання, а також інтерпретації медичних досліджень;
- результати проведених мед.досліджень;
- Ми не здійснюємо обробку ПД, які стосуються стану здоров’я клієнта. Винятком із цього правила є випадки, коли обробка особистих даних потрібна для захисту життя та здоров’я клієнта або інших його життєво важливих інтересів.
Збір ПД.
ПД клієнтів ми отримуємо виключно особисто від них або від їхнього законного представника. ПД клієнта можуть бути зібрані за його словами. При цьому вони не підлягають додатковій перевірці.
Обробка ПД.
Обробка ПД здійснюється неавтоматизовано чи автоматизовано.
До обробки ПД допускаються виключно працівники, які пройшли процедуру допуску. Вона передбачає:
- ознайомлення працівників з локальними нормативними актами клініки, які регламентують порядок, а також процедуру роботи з ПД клієнтів;
- отримання працівником та застосування в роботі особистих атрибутів доступу до інформаційних систем клініки, що містять ПД клієнтів. Кожен працівник отримує доступ до інформаційних систем, які мінімально потрібні для реалізації трудових обов’язків.
Працівники, які мають доступ до ПД клієнтів, отримують лише ПД, необхідних їм для реалізації конкретних трудових завдань.
Зберігання ПД.
Зберігання ПД клієнтів проводиться у паперовому (договір, медкарта пацієнта тощо) та електронному форматі. В останньому випадку зберігання ПД клієнтів здійснюється в інформаційних системах ПД клініки та в архівних копіях БД даних систем.
У процесі зберігання ПД клієнтів забезпечується дотримання організаційних, а також технічних заходів, які гарантують збереження ПД та унеможливлюють несанкціонований доступ до ПД. Для вирішення поставленого завдання:
- призначається відділ або працівник, який несе відповідальність за зберігання ПД;
- обмежується фізичний доступ до місць зберігання, а також носіїв ПД;
- організується облік усіх інформаційних систем, електронних носіїв, архівних копій.
Передача ПД третім особам.
Передача ПД третім особам може здійснюватись лише за згодою клієнта для реалізації обов’язків перед ним у межах договору надання послуг. Винятком із цього правила є випадки, коли такий обов’язок у клініки з’являється відповідно до вимог чинного законодавства або у разі надходження запиту від уповноважених держорганів. У такій ситуації клініка обмежує передачу ПД запитаним обсягом, а суб’єкт ПД за наявності такої можливості інформується про передачу ПД третій особі.
ПД клієнта (включаючи результати досліджень) можуть надаватися родичам чи членам сім’ї виключно з дозволу клієнта. Винятком із цього правила є випадки, коли передача ПД без згоди клієнта допускається чинними українськими законами. У вигляді такого дозволу може використовуватися довіреність, засвідчена нотаріусом.
Заходи щодо забезпечення безпеки ПД у процесі їх збирання та обробки.
Безпека та конфіденційність ПД у клініці забезпечується такими заходами:
- ознайомлення співробітників з положеннями українського законодавства у сфері, що розглядається;
- призначення працівників, які несуть відповідальність за організацію, а також реалізацію робіт із захисту ПД;
- визначення переліку осіб, які мають допуск до роботи з ПД;
- формування та затвердження локальних нормативних актів, що встановлюють порядок обробки ПД;
- Виконання технічних заходів, які зменшують ймовірність загроз безпеки ПД;
- Регулярне тестування рівня захищеності інформаційних систем клініки.
- Стабільне покращення та розвиток методик забезпечення безпеки ПД.
Права клієнта
Суб’єкт ПД може отримувати відомості, що стосуються обробки його ПД:
- підтвердження обробки ПД;
- підстави, а також цілі обробки ПД;
- мети та методи обробки ПД;
- інформація про суб’єктів (за винятком працівників клініки), які мають доступ до ПД або яким можуть розкриватися ПД згідно з договором або на підставі чинного законодавства;
- джерело отримання ПД;
- терміни обробки та зберігання ПД;
- порядок реалізації суб’єктом ПД власних прав.