Приложение N 1. Положение о защите персональных данных, обрабатываемых в автоматизированной информационной системе персонифицированного учета "ОМС - Рязанская область". Приказ Территориального фонда обязательного медицинского страхования Рязанской области от 15.09.2011 N 256/1 "Об усилении информационной безопасности при ведении персонифицированного учета в сфере ОМС в ТФОМС Рязанской области"

Приложение N 1
к приказу
от 15 сентября 2011 г. N 256/1

Положение
о защите персональных данных, обрабатываемых в автоматизированной информационной системе персонифицированного учета "ОМС - Рязанская область"

1. Общие положения

1.1. Настоящее Положение о защите персональных данных (далее - Положение) определяет порядок получения, хранения, комбинирования, передачи и любого другого использования персональных данных субъектов, обрабатываемых в автоматизированных информационных системах персонифицированного учета Территориального фонда обязательного медицинского страхования Рязанской области (далее - ТФОМС), расположенного по адресу Рязанская область, г. Рязань, ул. 6-я линия, д. 6, в соответствии с законодательством Российской Федерации.

1.2. Настоящее Положение разработано в соответствии с:

- Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных";

- Федеральным законом от 29 ноября 2011 г. N 326-ФЗ "Об обязательном медицинском страховании в Российской Федерации";

- Федеральным законом от 27 июля 2006 г. N 149-ФЗ "Об информации, информационных технологиях и о защите информации";

- Федеральным законом от 24 июля 2009 г. N 212-ФЗ "О страховых взносах в Пенсионный фонд Российской Федерации, Фонд социального страхования Российской Федерации, Федеральный фонд обязательного медицинского страхования";

- Федеральным законом от 29 июля 2004 г. N 98-ФЗ "О коммерческой тайне" (с изменениями и дополнениями);

- Положением "Об особенностях обработки персональных, осуществляемой без использования средств автоматизации" от 15.09.2008 г. N 687;

- Правилами обязательного медицинского страхования, утвержденными Приказом Министерства здравоохранения и социального развития Российской Федерации от 28.02.2011 г. N 29н;

ГАРАНТ:

По-видимому, в тексте предыдущего абзаца допущена опечатка. Номер названного приказа следует читать как "N 158н"

- Приказом Министерства здравоохранения и социального развития Российской Федерации от 25.01.2011 г. "Об утверждении Порядка ведения персонифицированного учета в сфере обязательного медицинского страхования";

- Перечнем сведений конфиденциального характера, утвержденным Указом Президента Российской Федерации от 06 марта 1997 г. N 188 (с изменениями и дополнениями);

- Общими принципами построения и функционирования информационных систем и порядком информационного взаимодействия в сфере обязательного медицинского страхования, утвержденным приказом Федерального фонда обязательного медицинского страхования от 07 апреля 2011 г. N 79

Для целей настоящего Положения используются следующие основные понятия:

Персональные данные (ПДн) - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц.

Использование персональных данных - действия с персональными данными, совершаемые работниками в целях принятия решений или совершения иных действий, порождающих юридические последствия в отношении субъекта персональных данных или других лиц либо иным образом затрагивающих права и свободы субъекта персональных данных или других лиц.

Конфиденциальность персональных данных - обязательное для соблюдения уполномоченным лицом или иным получившим доступ к персональным данным лицом требование не допускать их распространение без согласия субъекта персональных данных или наличия иного законного основания.

Общедоступные персональные данные - персональные данные, доступ неограниченного круга лиц к которым предоставлен с согласия субъекта персональных данных или на которые в соответствии с федеральными законами не распространяется требование соблюдения конфиденциальности.

Защита персональных данных - деятельность уполномоченных лиц по обеспечению с помощью локального регулирования порядка обработки персональных данных и организационно-технических мер конфиденциальности информации о конкретном субъекте персональных данных.

2. Цели и структура обрабатываемых персональных данных в автоматизированных информационных системах ТФОМС Рязанской области

2.1. АИС ведения персонифицированного учета ТФОМС Рязанской области созданы и функционируют в целях ведения персонифицированного учета сведений о каждом застрахованном лице в сфере обязательного медицинского страхования (АИС "ОМС - Рязанская область") и контроля за правильностью исчисления, полнотой и своевременностью уплаты (перечисления) страховых взносов (АИС "Страхователи").

2.2. АИС ведения персонифицированного учета ТФОМС Рязанской области представляет собой локальную вычислительную систему, расположенную в здании ТФОМС по адресу: Рязанская область, г. Рязань, ул. 6-я линия, д. 6.

2.3. АИС "ОМС - Рязанская область" выполняет следующие функции по ведению персонифицированного учета:

- организации персонифицированного учета в сфере обязательного медицинского страхования;

- ведения персонифицированного учета сведений о медицинской помощи, оказанной застрахованным лицам на территории рязанской области.

2.4. Персонифицированный учет сведений о застрахованных лицах ведется в форме территориального сегмента единого регистра застрахованных лиц и включает в себя сбор, обработку, передачу и хранение следующих сведений о застрахованных лицах:

1) фамилия, имя, отчество;

2) пол;

3) дата рождения;

4) место рождения;

5) гражданство;

6) данные документа, удостоверяющего личность;

7) место жительства;

8) место регистрации;

9) дата регистрации;

10) страховой номер индивидуального лицевого счета (СНИЛС), принятый в соответствии с законодательством Российской Федерации об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования;

11) номер полиса обязательного медицинского страхования застрахованного лица;

12) данные о страховой медицинской организации, выбранной застрахованным лицом;

13) дата регистрации в качестве застрахованного лица;

14) статус застрахованного лица (работающий, неработающий).

15) сведения о государственной регистрации смерти.

ГАРАНТ:

Нумерация пунктов приводится в соответствии с источником

2.4. Персонифицированный учет сведений о медицинской помощи, оказанной застрахованным лицам, включает в себя сбор, обработку, передачу и хранение следующих сведений:

1) номер полиса обязательного медицинского страхования застрахованного лица;

2) медицинская организация, оказавшая соответствующие услуги;

3) виды оказанной медицинской помощи;

4) условия оказания медицинской помощи;

5) сроки оказания медицинской помощи;

6) объемы оказанной медицинской помощи;

7) стоимость оказанной медицинской помощи;

8) диагноз;

9) профиль оказания медицинской помощи;

10) медицинские услуги, оказанные застрахованному лицу, и примененные лекарственные препараты;

11) примененные медико-экономические стандарты;

12) специальность медицинского работника, оказавшего медицинскую помощь;

13) результат обращения за медицинской помощью;

14) результаты проведенного контроля объемов, сроков, качества и условий предоставления медицинской помощи.

2.5. АИС "Страхователи" выполняет функции по контролю за правильностью исчисления, полнотой и своевременностью уплаты (перечисления) страховых взносов.

2.6 Контроль за правильностью исчисления, полнотой и своевременностью уплаты (перечисления) страховых взносов включает в себя сбор, обработку, хранение следующих сведений:

1) Фамилия;

2) Имя;

3) Отчество;

4) Пол;

5) Дата рождения;

6) ИНН;

7) Регистрационные номера в ТФОМС и ПФР;

8) Адрес регистрации;

9) Телефон;

10) Сведения о документе, удостоверяющем личность;

11) Сведения о перечисленных страховых взносах.

3. Сбор, обработка и защита персональных данных субъектов, обрабатываемых в АИС ТФОМС Рязанской области

Персональные данные относятся к конфиденциальной информации, порядок работы с ними регламентирован Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и осуществляется с соблюдением строго определенных правил и условий.

3.1. В целях обеспечения прав и свобод человека и гражданина ТФОМС и его представители при обработке ПДн обязаны соблюдать следующие требования:

ГАРАНТ:

Нумерация подпунктов приводится в соответствии с источником

3.2.1. Обработка ПДн осуществляется исключительно в целях ведения персонифицированного учета в сфере ОМС с соблюдением законов и иных нормативных правовых актов.

3.2.2. При определении объема и содержания, обрабатываемых ПДн, ТФОМС должен руководствоваться Конституцией Российской Федерации, Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и иными федеральными законами.

3.2.3. ПДн для целей ведения персонифицированного учета в сфере ОМС ТФОМС получает от страховых компаний, медицинских организаций, органов ЗАГС и ПФР Рязанской области, а также территориальных фондов ОМС.

3.2.4. ПДн для целей контроля за правильностью исчисления, полнотой и своевременностью уплаты (перечисления) страховых взносов ТФОМС Рязанской области получает от ПФР Рязанской области.

3.2.5. ТФОМС не имеет права получать и обрабатывать персональные данные субъекта ПДн о его политических, религиозных и иных убеждениях и частной жизни.

3.2.6. ТФОМС не имеет права получать и обрабатывать персональные данные субъекта ПДн о его членстве в общественных объединениях или его профсоюзной деятельности.

3.2. Список сотрудников ТФОМС, допущенных к обработке ПДн субъектов персонифицированного учета ОМС, утверждается приказом директора ТФОМС.

3.3. Перечень помещений ТФОМС, в которых обрабатываются ПДн субъектов персонифицированного учета ОМС, утверждается приказом директора ТФОМС.

3.4. Изменения в список сотрудников ТФОМС, допущенных к обработке ПДн, обрабатываемых в системе АИС ТФОМС Рязанской области вносятся только на основании приказа директора ТФОМС.

3.5. Сотрудники ТФОМС, получившие доступ к обработке ПДн субъектов, обязаны соблюдать режим конфиденциальности. Данное положение не распространяется на обмен персональными данными субъектов в порядке, установленном федеральными законами Российской Федерации.

3.6. Обработка данных в системе АИС ТФОМС Рязанской области ведется как неавтоматизированным способом без использования средств автоматизации, так и автоматизированным.

3.7. При обработке ПДн с использованием средств автоматизации пользователи руководствуются инструкцией.

3.8. Защита персональных данных субъекта ПДн от неправомерного их использования или утраты должна быть обеспечена ТФОМС за счет ее средств в порядке, установленном федеральными законами Российской Федерации.

4. Хранение персональных данных

4.1. Персонифицированные данные о субъектах, обрабатываемые в АИС ТФОМС Рязанской области, на бумажных носителях хранятся в специально оборудованных шкафах и сейфах, которые запираются и опечатываются. Ключи от шкафов и сейфов, в которых хранятся сведения о субъектах ПД, находятся у начальников отделов, допущенных к обработке ПДн.

4.2. Персонифицированные данные о субъектах, обрабатываемые в АИС ТФОМС Рязанской области с использованием средств автоматизации, хранятся в защищенной локальной вычислительной сети на серверах и рабочих станциях. Серверы и рабочие станции защищенной локальной вычислительной сети оборудованы сертифицированными аппаратными и программными средствами защиты информации, согласно требованиям и рекомендациям нормативно-методических документов уполномоченных регулирующих органов Российской Федерации по обеспечению защиты персональных данных в информационных системах персональных данных, обрабатываемых с использованием средств автоматизации.

4.3. Съемные электронные носители, на которых хранятся персонифицированные данные о субъектах, должны быть отмаркированы и учтены в соответствующем журнале.

4.4. Конкретные обязанности по хранению персонифицированных данных о субъектах ОМС, хранению и выдаче документов, отражающих персональные данные, возлагаются на работников ТФОМС и закрепляются в должностных инструкциях.

4.5. ТФОМС обеспечивает ограничение доступа к персонифицированным данным субъектов, не уполномоченных законодательством Российской Федерации для получения соответствующих сведений.

5. Передача персональных данных

5.1. При передаче ПДн о субъектах ОМС ТФОМС должен соблюдать следующие требования:

5.1.1. Не сообщать ПДн субъекта третьей стороне без письменного согласия субъекта ПДн, за исключением случаев, предусмотренных федеральными законами Российской Федерации.

5.1.2. Не сообщать ПДн субъекта в коммерческих целях без его письменного согласия.

5.1.3. Предупреждать лиц, получающих персонифицированные данные о субъектах, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено.

5.1.4. Осуществлять передачу ПДн субъекта в пределах ТФОМС в соответствии с настоящим Положением.

5.1.5. Передавать ПДн субъекта представителю субъекта ПДн в порядке, установленном федеральными законами Российской Федерации, и ограничивать эту информацию только теми персональными данными, которые необходимы для выполнения указанными представителями их функций.

5.1.6. Передача ПДн о субъектах должна производится только в целях ведения персонифицированного учета в сфере ОМС, либо в других случаях предусмотренных Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных" и другими Федеральными законами.

5.1.7. Передача ПДн о субъектах ОМС в целях ведения персонифицированного учета сведений в сфере ОМС должна осуществляться в электронном виде по корпоративной сети передачи данных с использованием электронной цифровой подписи в соответствии с установленными законодательством Российской Федерации требованиями по защите персональных данных.

5.2. Передача персональных данных о субъектах ОМС осуществляется в ФФОМС и ПФР в целях формирования и актуализации территориального и центрального сегментов Единого регистра застрахованного населения.

5.3. Передача персональных данных о субъектах ОМС осуществляется в СМО Рязанской области в целях формирования и актуализации территориального сегмента Единого регистра застрахованного населения.

5.4. Передача персональных данных о субъектах ОМС осуществляется в МО Рязанской области в целях идентификации страховой принадлежности субъекта ПДн.

6. Обязанности ТФОМС

6.1. ТФОМС обязан:

6.1.1. Осуществлять защиту персонифицированных данных субъектов.

6.1.2. Обеспечивать хранение документации, содержащей персонифицированную информацию о застрахованных лицах и оказанной им медицинской помощи, по правилам организации государственного архивного дела.

6.1.3. После истечения срока, установленного для хранения копий документов на бумажном и электронном носителях, они подлежат уничтожению в соответствии с законодательством Российской Федерации на основании акта об их уничтожении, утверждаемого директором ТФОМС.

7. Права субъекта ПДн в целях защиты персональных данных

7.1. В целях обеспечения защиты персональных данных, обрабатываемых ТФОМС, субъекты ПДн имеют право на:

7.1.1. Полную информацию об их персональных данных и методах их обработки, в частности субъект ПДн имеет право знать перечень обрабатываемых персональных данных, кто и в каких целях использует или использовал его персональные данные.

7.1.2. Свободный запрос и бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные субъекта ПДн, за исключением случаев, предусмотренных Федеральным законом от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

7.1.3. Определение представителей для защиты своих персональных данных.

7.1.4. Требование об исключении или исправлении неверных или неполных персональных данных, а также данных, обработанных с нарушением требований Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных".

7.1.5. Требование об извещении ТФОМС всех лиц, которым ранее были сообщены неверные или неполные персональные данные субъекта ПДн, обо всех произведенных в них исключениях, исправлениях или дополнениях.

7.1.6. Обжалование в судебном порядке любых неправомерных действий или бездействии ТФОМС при обработке и защите его персональных данных.

8. Ответственность за нарушение норм, регулирующих получение, обработку и защиту персональных данных субъекта ПДн

8.1. Лица, виновные в нарушении норм, регулирующих получение, обработку и защиту персональных данных субъекта ПДн привлекаются к дисциплинарной и материальной ответственности в порядке, установленном федеральными законами Российской Федерации, а также привлекаются к гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

8.2. Неправомерный отказ ТФОМС исключить или исправить персональные данные субъекта ПДн, а также любое иное нарушение прав субъекта ПДн на защиту персональных данных влечет возникновение у субъекта ПДн права требовать устранения нарушения его прав и компенсации причиненного таким нарушением морального вреда.