Типовий порядок обробки ПД у ЛОКЛ

ЗАТВЕРДЖЕНО

Наказ головного лікаря

_________2015р. №______

Типовий порядок обробки персональних даних у базі персональних даних «Пацієнти» у Луганській обласній клінічній лікарні.

І. Загальні положення

  1. Цей Типовий порядок розроблено на виконання вимог частини десятої статті 6 Закону України «Про захист персональних даних» (далі — Закон).

  2. Цей Типовий порядок встановлює загальні вимоги до організаційних та техніч­них заходів захисту персональних даних під час їх обробки у базі персональних даних «Пацієнти» володільцем якою е ЛОКЛ.

  3. Обробка персональних даних може здійснюватися повністю або частково в ін­формаційній (автоматизованій) системі та/або у формі картотек персональних даних.

  4. У цьому Типовому порядку терміни вживаються у такому значенні:

  • автентифікація — процедура встановлення належності працівникові володільця бази персональних даних пред'явленого ним ідентифікатора;

  • авторизація — процедура отримання дозволу на проведення дій з обробки персо­нальних даних у базі персональних даних у складі інформаційної (автоматизованої) системи;

  • відповідальна особа — особа, на яку володільцем бази персо­нальних даних відповідно до її службових, трудових, професійних обов'язків покладена організація роботи, пов'язаної із захистом персональних даних при їх обробці;

  • ідентифікація — процедура розпізнавання користувача в системі, як правило, за допомогою наперед визначеного імені (ідентифікатора) або іншої інформації про нього, яка сприймається інформаційною (автоматизованою) системою;

  • структурний підрозділ — структурна одиниця, що діє у складі володільця персональних даних та відповідно до його прав та обов'язків на підставі поло­ження про нього здійснює організацію роботи, пов'язаної із захистом персональних даних при їх обробці.

Інші терміни у цьому Типовому порядку вживаються у значеннях, наведених у Законі.

  1. Захист персональних даних покладається на володільця бази персональних даних, який здійснює ообробку персональних даних відпо­відно до закону.

На дії володільця бази персональних даних поширюються усі вимоги щодо захисту персональних даних від незаконної обробки, а також від незаконно­го доступу до них.

  1. Володілець бази персональних даних визначає:

  • мету обробки, склад персональних даних у базі персональних даних та її місцезна­ходження;

  • порядок внесення, зміни, поновлення, використання, поширення, знеособлення, знищення персональних даних у базі персональних даних;

  • відповідальну особу або структурний підрозділ;

  • порядок захисту персональних даних, в тому числі від незаконної обробки та неза­конного доступу до них. 

  1. Відповідальна особа або структурний підрозділ відповідно до покладених завдань:

  • забезпечує ознайомлення працівників володільця бази персо­нальних даних з вимогами законодавства про захист персональних даних, зокрема щодо їхнього обов'язку не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали їм відомі у зв'язку з виконанням професійних, службових чи трудових обов'язків;

  • забезпечує організацію обробки персональних даних працівниками володільця бази персональних даних відповідно до їх професійних, службових чи тру­дових обов'язків в обсязі, необхідному для виконання таких обов'язків;

  • організовує роботу з обробки запитів щодо доступу до персональних даних суб'єктів відносин, пов'язаних з обробкою персональних даних;

  • забезпечує доступ суб'єктів персональних даних до власних персональних даних;

  • інформує головного лікаря лікарні - володільця бази персональних даних про за­ходи, які необхідно вжити для приведення складу персональних даних та процедур їх обробки у відповідність до закону;

  • інформує головного лікаря лікарні - керівника володільця бази персональних даних про по­рушення встановлених процедур з обробки персональних даних.

  1. Володілець бази персональних даних веде облік:

  • фактів надання та позбавлення працівників права доступу до персональних даних та їх обробки;

  • спроб та фактів несанкціонованих та/або незаконних дій з обробки персональних даних.

  1. Володілець бази персональних даних може розмежувати режими доступу пра­цівників до обробки персональних даних у базі персональних даних відповідно до їх про­фесійних, трудових чи службових обов'язків.

  2. Знищення персональних даних здійснюється у спосіб, що виключає подальшу можливість поновлення таких персональних даних.

II. Обробка персональних даних в складі інформаційної (автоматизованої) системи

  1. Володілець бази персональних даних на базі оргметодвідділу обробляє персональні дані пацієнтів в складі інфор­маційної (автоматизованої) системи, у якій забезпечується захист персональних даних відповідно до вимог закону.

  2. Обробка персональних даних в інформаційній (автоматизованій) системі здійснюватись у складі інформаційно-телекомунікаційної системи із застосуванням засобів мережевого захисту від несанкціонованого доступу під час обробки персональних даних.

  3. Працівники володільця бази персональних даних (статистики медичні, оператори комп’ютерного набору) допускаються до обробки пер­сональних даних лише після їх авторизації.

  4. Доступ осіб, які не пройшли процедуру ідентифікації та/або автентифікації, по­винен блокуватись.

  5. В інформаційній (автоматизованій) системі, де обробляються персональні дані, може здійснюватись реєстрація, зокрема:

  • результатів ідентифікації та/або автентифікації працівників володільця бази пер­сональних даних;

  • дій з обробки персональних даних;

  • факту встановлення ознаки «Підтвердження надання згоди на обробку персо­нальних даних у базі персональних даних» за допомогою управляючих елементів веб-ресурсів володільця бази персональних даних, інтерфейсів користувача програмного забезпечення;

  • результатів перевірки цілісності засобів захисту персональних даних.

Відповідальна особа та/або структурний підрозділ може проводити аналіз реєстра­ційних даних.

Реєстраційні дані захищаються від модифікації та знищення.

Реєстраційні дані повинні зберігатися та надаватися за вмотивованою вимогою для аналізу суб'єктам відносин, пов'язаним із персональними даними.

  1. Володілець бази персональних даних забезпечує антивірусний захист в інформа­ційній (автоматизованій) системі.

  2. Володілець бази персональних даних забезпечує використання технічних засобів безперебійного живлення елементів інформаційної (автоматизованої) системи.

III. Обробка персональних даних у формі картотек

  1. Володілець бази персональних даних здійснює обробку персональних даних у картотеках у порядку, визначеному Законом та розділом І цього Типового порядку, з урахуванням таких вимог:

документи, що містять персональні дані (медична карта стаціонарного хворого, медична карта амбулаторного хворого, журнали обліку досліджень та інші) зберігаються у приміщеннях (шафах, сейфах), захищених від несанкціо­нованого доступу.

  1. Двері у приміщеннях (шафах, сейфах) повинні бути обладнані замком або контро­лем доступу.