Добрый день!

В связи с действием Федерального закона от 27.07.2006 №152-ФЗ мы берем согласие у сотрудников на использование персональных данных и не знаем как быть с  пациентами и их персональными данными( берем для записи ,заносим данные в журнал регистрации, оформляем договор на оказание мед.услуг и т.д.).Обязана ли организация  брать письменное разрешение у пациентов на обработку их персональных данных?

Добрый день!

То же вопрос в связи с  Федеральным законом от 27.07.2006 №152-ФЗ.

Имеются ли документы, образцы или шаблоны по следующим пунктам:

1. Перечень конфиденциальной, служебной, коммерческой и другой критичнойинформации, подлежащей защите.

2. Документ регламентирующий классификацию информации по степениконфиденциальности.

3. Организационно-распорядительная документации, регламентирующейпроведение мероприятий по защите информации.

4. Организационно-распорядительная документация, определяющей порядок работы со сведениямиконфиденциального характера .

5. Документ о  регламентеиспользования электронной почты.

6. Соглашения о неразглашении.

7. Нормативные документы регламентирующие информационный обмен учреждения сдругими субъектами системы здравоохранения и обязательного медицинскогострахования.                                              8. Документы подтверждающие согласие работников на обработку ихперсональных данных.

9. Документы подтверждающих согласие работников работать с информациейограниченного доступа.

 10. Регламент (инструкции) доступа работников к сети Интернет. 

Здравствуйте, Евгений Петрович! Да это целое исследование надо проводить, чтобы ответить на Ваши вопросы! Для форума уж слишком основательно... Попробую коротко.

I. Шаблонов,  образцов - кроме как в госструктурах - нет. Разрабатывать надо самостоятельно, и начать с того, чтобы определить, что же Вы будете защищать.  Имейте в виду, что нельзя относить к конфединциальным документы открытого доступа: правила внутреннего трудового распорядка, устав организации и др.

Определять режим защиты надо самостоятельно. Все работники должны быть ознакомлены с положениями, содержащимися в локальных нормативных актах, определяющими режим охраны сведений, составляющими коммерческую, служебную и иную тайну.
Прежде всего Вам следует определить:
а) какая информация, в каких документах, подлежит охране, и по каким основаниям (коммерческая тайна, персональные данные и т. п.);
б) круг лиц, имеющих доступ к этой информации с учетом трудовой функции работника;
в) разработать порядок получения, хранения, комбинирования, передачи или любого другого использования информации конфиденциального характера.
При этом Вы должны при приеме на работу и обсуждении условий трудового договора обязательно указать необходимость соблюдения коммерческой тайны, установленной в организации, а также особого режима обращения с персональными данными пациентов; это входит отдельным пунктом как условие трудового договора (либо неотъемлемой его части - должностной или служебной инструкции).

Предполагается, что в организации существует комплект соответствующей документации, регламентирующей разные уровни конфиденциальности, перечень сведений, являющихся запрещенными к распространению. И при принятии на работу сотрудник с ними знакомится и все подписывает, принимая на себя обязательства исполнять установленные в организации правила, а также то, что понимает возможность наступления юридической ответственности для себя при их нарушении. Повторюсь, в условиях трудового договора это все предусматривается. 
Для этого разрабытываете:

1. Положение о подразделении безопасности.
2. Перечень сведений, составляющих конфиденциальную информацию.
3. Организационно-распорядительные документы, регламентирующие порядок и правила: обеспечения безопасности конфиденциальной информации; режима и охраны объектов защиты, включая требования к пропускному и внутриобъектовому режимам; по учету и контролю финансов, обеспечения их сохранности в процессе проведения операций, хранения и транспортировки; обеспечения защиты информации, обрабатываемой и передаваемой в автоматизированных системах и средствах связи.
II. Утвержденная законодательно градация степеней конфединциальности опять-таки существует только в госструктурах - для служебного пользования, гриф секретно, совершенно секретно и т. п. Если хотите построить у себя такую же, пригласите пенсионера-режимника с опытом работы в каком-нибудь "ящике", он Вам все построит по образу и подобию.

III. Это Вы разрабатываете у себя самостоятельно - в зависимости от потоков информации, их направленности, доступности и т.п., а также своих финансовых возможностей.

IV. Внутренняя документация, разрабатывается самостоятельно, опять-таки все зависит от реальных потоков информации, структуры организации, реального доступа разного уровня сотрудников и т.п. То же можно сказать и по вопросу V.

VI. Ответила в пункте I, но имейте в виду, что реально уволить нарушившего Ваши правила сотрудника по пп. "в" п. 6 ч. 1 ст. 81 ТК РФ (разглашение охраняемой законом тайны (государственной, коммерческой, служебной и иной), ставшей известной работнику в связи с исполнением им трудовых обязанностей, в том числе разглашение персональных данных другого работника) можно только при соблюдении всех формальностей при приеме и допуске этого работника к данным, а также если у Вас есть неопровержимые сведения о том, как и чем реально этот работник нанес Вам ущерб, разгласив коммерческую, к примеру, тайну.

VII. Для обмена данными надо у пациента взять расписку о согласии на обработку и распространение - в оговоренных пределах! - его персональных данных.

 VIII. Статья 22 Закона о персональных данных устанавливает, что оператор вправе осуществлять без уведомления уполномоченного органа по защите прав субъектов персональных данных (на основании ст. 23 Закона таким органом является федеральный орган исполнительной власти, осуществляющий функции по контролю и надзору в сфере информационных технологий и связи) обработку персональных данных, относящихся к субъектам персональных данных, которых связывают с оператором трудовые отношения.

IX. Пункт трудового договора (служебной- должностной инструкции).

X. Разрабатывается самостоятельно с учетом технических возможностей, прав и обязанностей конкретных работников - к примеру, обязанности и необходимость доступа к сети будут разными у руководителя службы маркетинга и PR и  бухгалтера материального стола.

Никаких.