Политика защиты персональных данных
Распоряжение директора № AHT.LEG02/08 о внесении изменений в Устав ООО «American Hospital Network» (регистрационный номер 402154342) от 12 марта 2024 года
Политика защиты персональных данных применяется к ООО «American Hospital Network» (регистрационный номер: 402154342; далее — «AHT») набор правил и условий, применимых к ООО «American Hospital Network» (регистрационный номер: 402154342; далее — «AHT»), целью которых является выполнение обязательств, предусмотренных законодательством, а также обеспечение защиты прав и свобод человека, включая защиту частной жизни, при обработке персональных данных.
AHT:
уважает и признает основные права и свободы личности, в том числе право на неприкосновенность частной жизни и тайну переписки, при обработке персональных данных;
обязуется строго соблюдать действующее законодательство при обработке персональных данных, обрабатывать данные только при наличии соответствующих правовых оснований и в соответствии с установленными принципами;
Признавая ценность и важность персональных данных, мы будем строго соблюдать их конфиденциальность;
Обеспечивает надлежащую защиту и безопасность персональных данных;
Персональные данные будут использоваться исключительно в соответствии с законом и добросовестно;
В любое время предоставляет субъекту данных полную и исчерпывающую информацию об обработке его персональных данных.
Компания AHT соблюдает законодательство Грузии и международные стандарты в области защиты прав человека. Особое значение для нас имеет защита персональных данных и конфиденциальности пациентов. Учитывая конфиденциальный характер персональных данных особой категории, которые мы обрабатываем, мы принимаем все необходимые меры для обеспечения конфиденциальности и безопасности данных.
AHT гарантирует соблюдение внутренних правил конфиденциальности и защиты персональных данных/Системы внедрены в полном объеме и обеспечивают соблюдение обязательных норм, которые полностью соответствуют действующему законодательству Грузии. Соответственно, каждая сторона, участвующая в данных отношениях, обязана обеспечить полное соответствие своих действий требованиям применимого законодательства о защите персональных данных и обрабатывать персональные данные в соответствии с процедурами, определенными законодательством Грузии. в соответствии с принципами, а в тех случаях, когда закон требует согласия субъекта данных на обработку данных, — получать/фиксировать такое согласие (в письменной или электронной форме). Согласие должно быть осознанным, добровольным, явным, конкретным, простым и понятным.
Правовая основа документа «Политика защиты персональных данных»
Мы обрабатываем персональные данные в соответствии с Законом Грузии «О защите персональных данных». Ваши права защищены законодательством Грузии и Общим регламентом по защите данных (GDPR) Европейского союза.
При обработке данных мы также руководствуемся законодательством, регулирующим деятельность сектора здравоохранения (законы Грузии: «О правах пациента», «О здравоохранении», «О медицинской деятельности» и другие), а также подзаконными актами, регулирующими нашу сферу деятельности и обработку персональных данных.
При обработке персональных данных мы руководствуемся международными и национальными рекомендациями и протоколами, в том числе рекомендациями Всемирной организации здравоохранения (ВОЗ), Европейского центра по профилактике и контролю заболеваний (ECDC), а также инструкции Службы защиты персональных данных Грузии.
В целях осуществления своей медицинской деятельности AHT руководствуется Конституцией Грузии, законами Грузии «О здравоохранении» и «О медицинской деятельности»», «О правах пациента», «О защите персональных данных», а также приказ № 108/n от 15 августа 2011 года министра по оккупированным территориям, труду, здравоохранению и социальной защите «Об утверждении правил ведения амбулаторной медицинской документации», приказ вышеуказанного министерства № 108-н от 3 января 2019 года «Об утверждении правил внедрения и ведения системы электронных медицинских карт (ЭМК)», приказ № 101/н от 3 января 2019 г. «О внедрении системы электронных медицинских карт (ЭМК) о правилах внедрения и ведения системы электронных медицинских карт», устав медицинского учреждения и другие законодательные/подзаконные акты, регулирующие медицинскую деятельность. Обработка данных особой категории осуществляется на основании указанных актов.
Определение терминов
Принцип законности и справедливости — мы обрабатываем персональные данные в соответствии с правилами и основаниями, установленными законодательством. Мы соблюдаем правила обработки данных особой категории в соответствии с рекомендациями/протоколами международных и местных регулирующих органов. Мы обеспечиваем защиту прав пациентов и обрабатываем персональные данные в соответствии с принципом равенства (недискриминации). Одной из наших основных целей является защита пациентов от стигматизации и обеспечение их конфиденциальности;
Принцип прозрачности — обработка данных осуществляется прозрачно для субъекта данных. До начала обработки данных пациент будет проинформирован о целях и объеме обработки, а также о своих правах как субъекта данных. Субъект данных может в любое время обратиться к нам для получения информации об обработке своих персональных данных в соответствии с грузинским законодательством и в установленные им сроки. Мы информируем субъекта данных о нарушениях безопасности персональных данных, которые могут повлечь за собой риск для его прав;
Принцип ограничения целей обработки — мы обрабатываем персональные данные исключительно в тех целях, для которых они были получены. Если данные, полученные с согласия пациента, необходимо использовать в иных целях, мы заново запросим его согласие;
Принцип минимизации данных — мы обрабатываем персональные данные только в той мере, в какой это необходимо для достижения целей, указанных в настоящем документе. При обработке данных мы учитываем соразмерность цели и объема данных, а также влияние обработки данных на права человека.
Принцип точности данных — мы гарантируем, что персональные данные, хранящиеся у нас, полученные нами и предоставленные пациентом, являются точными и достоверными. Мы немедленно исправляем или удаляем неточные данные либо по запросу субъекта данных, Мы также информируем о внесении исправлений любую третью сторону, которой мы раскрыли данные, в случае обнаружения ошибки или по запросу субъекта данных.
Принцип ограничения срока хранения — мы храним данные только в течение периода, необходимого для достижения цели (для каждой категории данных установлен конкретный срок хранения). Для хранения персональных данных мы заранее определяем конкретный срок или указываем критерии для определения этого срока, за исключением случаев, когда срок хранения установлен законом;
Принцип безопасности данных — В целях обеспечения безопасности данных мы принимаем при их обработке такие технические и организационные меры, которые надлежащим образом гарантируют защиту данных, включая несанкционированную или незаконную обработку, случайную утрату, уничтожение и/или повреждение. Мы соблюдаем принцип конфиденциальности и с этой целью определяем ограниченный круг сотрудников, которые в силу своих должностных обязанностей имеют доступ к персональным данным.
3. Сбор персональных данных / Доступ к информации
Данные получаются от субъекта данных из различных источников, в том числе:
Взаимодействие с субъектом данных
-Наличие договорных или преддоговорных отношений с компанией AHT
Использование продуктов/услуг компании AHT, включая телефонную связь, посещение веб-сайта, а также посещение медицинского учреждения и/или на дом.
Подача писем/заявлений субъектом данных, в том числе по почте или электронной почте.
получение данных непосредственно от субъекта данных, пациента, его родственника или законного представителя, либо на основании документа, выданного другим медицинским учреждением;
Доступ к данным через систему электронных медицинских карт (EHR);
Доступ к данным через электронные системы, принадлежащие организациям, реализующим государственные, местные, всеобщие и адресные программы;
на основании писем/направлений, выданных организациями, реализующими государственные, местные, общие или целевые программы;
- посредством гарантийных писем/обязательств/полисов, выданных частными страховыми компаниями или другими организациями и учреждениями;
в результате направления пациента из другого медицинского учреждения;
на основании сопроводительной документации, составленной при поступлении пациента в медицинское учреждение службой скорой медицинской помощи (при наличии).
AHT также может собирать и обрабатывать персональные данные субъекта данных из общедоступных источников (при их наличии).
Система электронных медицинских карт (EHR)
Система электронных медицинских карт (далее — система ЭМК) представляет собой цифровой хранилище данных о состоянии здоровья пациента.
Врач службы скорой медицинской помощи обязан передавать информацию о стационарных и амбулаторных случаях в систему электронных медицинских карт после выписки пациента/В течение 14 календарных дней после завершения амбулаторного посещения (за исключением неустановленных пациентов, информация о которых должна быть передана в течение 14 календарных дней после их идентификации). Если данные передаются/вводятся в систему ЭМК после этих сроков, делу присваивается статус «просроченное». Данные не могут быть внесены позднее чем через 3 месяца после закрытия дела.
б. Данные о посещении, переданные (введенные) в систему электронных медицинских карт уполномоченным медицинским работником с информированного согласия пациента, могут:
а) Для всех врачей, имеющих доступ к общедоступной (общей) системе, также будут отображаться соответствующие данные из раздела «Анамнез», относящиеся к данному эпизоду/визиту;
б) «Скрыто» — этот статус гарантирует, что данные будут скрыты от всех пользователей системы (за исключением самого пациента и лица, введшего данные об эпизоде/визите в систему электронных медицинских карт). Данные с этим статусом также не отображаются в истории жизни пациента.
c) Частично доступные — этот статус предполагает частичное раскрытие данных, при этом необходимо предоставить подробное описание частично доступных/общих данных.
Внутреннее программное обеспечение
c.AHT: планирование, реализация, управление, администрирование, обеспечение безопасности, отчетность, мониторинг, судебные разбирательства, а также осуществление прав на предъявление претензий в связи с трудовым договором и вытекающих из негов целях и в связи с трудовыми и налоговыми правоотношениями и вытекающими из них отношениями, а также в целях учета услуг, предоставляемых пациенту, и обеспечения прозрачности рабочего процесса, использует программное обеспечение AccuracyMed – электронная автоматизированная система управления для медицинской клиники, которую компания приобрела с бессрочным неисключительным правом пользования.
4. Цель обработки
В соответствии с нашей сферой деятельности мы обрабатываем персональные данные пациентов исключительно в целях получения медицинских услуг, В целях охраны общественного здоровья и научных исследований цель обработки информации, предоставленной субъектом данных – пациентом – компании AHT, заключается в следующем:
Обеспечение субъекту данных комплексной амбулаторной и стационарной медицинской помощи, постановка медицинского диагноза и, в связи с этим, ведение соответствующей (амбулаторной и стационарной) медицинской документации;
Защита жизненно важных интересов человека;
Архивирование данных в целях обеспечения общественного здравоохранения, эффективного функционирования системы здравоохранения, а также в соответствии с процедурами, предусмотренными действующим законодательством.
Контроль и повышение качества предоставляемых услуг;
Рассмотрение жалоб/претензий/заявлений. Установление личности с целью идентификации заинтересованной стороны, её представителя и/или лица, подавшего заявление;
от организаций, реализующих программы и подпрограммы, финансируемые государством и/или местными органами власти, в результате оказания медицинских услуг/получение возмещения от страховых компаний и/или соответствующего(их) финансирующего(их) органа(ов) или от исполнителей программ и подпрограмм, финансируемых государством и/или местными органами власти, в результате оказания медицинских услуг;
предоставление соответствующей информации государственным регулирующим органам в целях выполнения установленных законом обязательств;
Содействие предотвращению отмывания денег и финансирования терроризма;
-Управление дебиторской задолженностью;
Судебные разбирательства.
Выполнение обязательства, предусмотренного другими правовыми актами.
Компания AHT также обрабатывает персональные данные кандидата/сотрудника в следующих целях:
Данные кандидата обрабатываются в целях проведения конкурса для определения его соответствия требованиям;
-По завершении конкурса данные, предоставленные кандидатом на этапе конкурса, будут использованы для обеспечения процедуры назначения на соответствующую должность в соответствии с законодательством и внутренними нормативными актами учреждения, а также в связи с соответствующими трудовыми отношениямив связи с соответствующими трудовыми отношениями, в целях выполнения установленных законом обязательств учреждения;
Установление трудовых отношений с субъектом данных. Заключение договора о прохождении стажировки, выдача расчетного листа или продление сроков выплаты заработной платы на существующий счет. Присвоение сотруднику корпоративного номера или подключение его к корпоративной сети.
-а также выполнение других обязательств, вытекающих из трудовых отношений и связанных с ними.
5. Принципы обработки данных
Компания AHT обрабатывает персональные данные при наличии одного из следующих оснований:
Согласие субъекта данных;
для выполнения обязательств, вытекающих из договора, заключенного с субъектом данных, или для заключения договора по просьбе субъекта данных;
обработка данных предусмотрена законом или любым подзаконным актом, принятым в целях реализации соответствующего закона, соответствующей государственной или местной программы (подпрограммы) в области здравоохранения и т. п.;
обработка необходима для выполнения лицом, ответственным за обработку, своих юридических обязательств;
Эти данные находятся в открытом доступе.
обработка необходима для защиты жизненно важных интересов субъекта данных или другого лица;
обработка персональных данных необходима для защиты важных общественных интересов;
обработка необходима для защиты существенных законных интересов контролера или третьего лица, за исключением случаев, когда имеются более веские интересы в области защиты прав субъекта данных, в том числе прав ребенка;
обработка необходима для рассмотрения запроса субъекта данных или для предоставления услуги;
- при наличии иных оснований, определённых в Законе Грузии о персональных данных.
6. Правовые основания для обработки данных особой категории
В соответствии с вышеуказанными принципами и в установленных целях компания AHT будет обрабатывать данные особой категории субъекта данных при наличии одного из следующих оснований:
письменное согласие субъекта данных;
обработка необходима для защиты жизненно важных интересов субъекта данных или другого физического лица, и субъект данных физически или юридически неспособен дать согласие на обработку данных особой категории;
Обработка данных прямо и конкретно регулируется Законом Грузии или любым подзаконным актом, принятым в целях реализации соответствующего закона, соответствующей государственной/местной программы в области общественного здравоохранения/подпрограммы и т. д.);
Обработка данных необходима для профилактических, диагностических, лечебных, обеспечения качества и безопасности реабилитационной и паллиативной помощи, услуг, медицинских изделий и продуктов, для целей общественного здравоохранения и управления системой здравоохранения в соответствии с законодательством Грузии или договором с медицинским работником;
Обработка данных необходима в сфере социального обеспечения и социальной защиты, в том числе для управления системой и услугами социального обеспечения, с целью выполнения обязанности, возложенной на контролера законодательством Грузии, или для осуществления конкретных прав субъекта данных;
Обработка данных необходима для исполнения трудового договора и в рамках трудовых отношений, в том числе для принятия решения о приеме на работу или оценки профессиональной компетенции работника;
Данные были обнародованы самим субъектом данных;
Обработка данных необходима для обеспечения информационной безопасности и кибербезопасности.
Обработка данных необходима для защиты важных общественных интересов;
Обработка данных особой категории необходима для целей архивирования в общественных интересах, научных или исторических исследований либо статистических целей, если законодательство предусматривает надлежащие и конкретные меры по защите прав и свобод субъекта данных. Данное основание для обработки данных особой категории не применяется в тех случаях, когда обработка ограничивается конкретным законом, устанавливающим дополнительные и иные условия;
по любому другому законному основанию;
7. Обработка персональных данных несовершеннолетних
При обработке персональных данных несовершеннолетних компания AHT всегда руководствуется принципом защиты их наилучших интересов.
Обработка данных особой категории, касающихся несовершеннолетнего, допускается только при наличии письменного согласия его родителя или иного законного представителя, за исключением случаев, прямо предусмотренных законом.
Согласие на обработку данных несовершеннолетнего, полученное от его родителя или иного законного представителя, не считается действительным, если такая обработка ставит под угрозу или наносит ущерб наилучшим интересам несовершеннолетнего.
Родитель или законный опекун имеет право получать от лечащего врача полную, объективную, своевременную и доступную информацию о состоянии здоровья несовершеннолетнего, если только несовершеннолетний не возражает против раскрытия такой информации.
а) несовершеннолетний пациент, признанный недееспособным в порядке, установленном законодательством Грузии;
б) 14несовершеннолетний пациент в возрасте от 14 до 18 лет, который, по мнению медицинского работника, адекватно оценивает состояние своего здоровья и обратился к врачу для лечения заболевания, передаваемого половым путем, или наркотической зависимости, за консультацией по поводу нехирургических методов контрацепции или прерывания беременности;
в) несовершеннолетний пациент в возрасте от 14 до 18 лет, который, по мнению медицинского работника, адекватно оценивает состояние своего здоровья и обратился к врачу по поводу ВИЧ-инфекции/с целью диагностики СПИДа, за исключением случаев, когда уже получен положительный результат теста на ВИЧ-инфекцию/СПИД. В этом случае родитель или законный представитель несовершеннолетнего пациента в возрасте от 14 до 18 лет получает информацию, указанную в пункте 1 настоящей статьи, только при наличии информированного согласия пациента на раскрытие этой информации или/и пациент отказывается от соответствующего лечения, а также если пациент не считается правоспособным в соответствии с законодательством Грузии.
Порядок уведомления, предусмотренный пунктом «g» настоящей статьи, устанавливается министром по делам оккупированных территорий Грузии, труда, здравоохранения и социальной защиты.
несовершеннолетний пациент в возрасте от 14 до 18 лет, который, по мнению медицинского работника, обладает достаточным пониманием своего состояния здоровья, Пациент в возрасте до 18 лет, который, по мнению медицинского работника, адекватно оценивает состояние своего здоровья, имеет право дать информированное согласие на оказание медицинской помощи, если он обратился в AHT с целью, предусмотренной в подпунктах (b) или (c) предыдущей статьи.
Несовершеннолетний пациент в возрасте до 16 лет может получать медицинские услуги только с согласия родителя или законного представителя, за исключением случаев, предусмотренных подпунктами «б» и «в» предыдущего пункта настоящей статьи; Кроме того, при принятии решения об оказании медицинских услуг необходимо учитывать мнение пациента с учетом его возраста и уровня умственного развития.
Несовершеннолетний пациент старше 16 лет, который, по мнению медицинского работника, способен адекватно оценивать состояние своего здоровья, имеет право дать информированное согласие или отказаться от него в отношении оказания медицинских услуг. О данном решении следует уведомить родственника или законного представителя пациента.
Несовершеннолетний пациент имеет право на получение информации о своем состоянии здоровья и лечении. Предоставляемая информация должна соответствовать его возрасту и уровню умственного развития.
8. Хранение и защита персональных данных умершего лица
В соответствии с целями нашей деятельности мы обрабатываем персональные данные умерших лиц в целях охраны общественного здоровья, предотвращения распространения острых инфекционных заболеваний, а также в статистических и исследовательских целях.
В соответствии с законодательством Грузии мы обрабатываем следующие данные умершего лица без получения согласия его наследника: имя, фамилию, пол, даты рождения и смерти умершего лица.
Для обработки любых других данных (в том числе данных особой категории) мы получаем согласие от родителя умершего лица, ребенка, внука или супруга, за исключением случаев, когда нет других законных оснований для обработки данных без согласия или субъект данных в письменной форме до своей смерти запретил обработку данных о себе после смерти.
9. Обработка биометрических данных
Обработка биометрических данных допускается только в том случае, если это необходимо:
для осуществления деятельности;
в целях обеспечения безопасности, защиты информации, являющейся собственностью компании, и предотвращения разглашения конфиденциальной информации, а также в тех случаях, когда достижение этих целей невозможно иными способами или требует несоразмерных усилий;
-в других случаях, прямо предусмотренных законом.
Обработка биометрических данных в иных целях и в объеме, превышающем необходимый, запрещается. Срок хранения данных не должен превышать срок, установленный законом, если таковой имеется, а в случае отсутствия такого срока — 15 лет. По истечении соответствующего срока данные подлежат уничтожению (в том числе удалению). Субъект данных обладает соответствующими правами, предусмотренными законом.
10. Преддоговорные отношения и обмен информацией до и после заключения трудового договора
Компания AHT, как работодатель, имеет право запрашивать информацию о кандидате, за исключением сведений, не имеющих отношения к выполнению должностных обязанностей и не необходимых для оценки способности кандидата выполнять конкретные должностные обязанности и принятия соответствующего решения.
Кандидат обязан уведомлять работодателя о любых обстоятельствах, которые могут помешать ему выполнять свои обязанности или представлять угрозу для интересов работодателя.
Работодатель имеет право проверить достоверность информации, предоставленной соискателем.
Информация о кандидате, полученная работодателем, а также информация, представленная самим кандидатом, не может быть передана каким-либо другим лицам без согласия кандидата, за исключением случаев, предусмотренных законодательством Грузии.
11. Классификация персональных данных субъекта данных
В соответствии с указанными выше целями мы обрабатываем следующие категории данных:
Категория персональных данных пациентов:
-Идентификационные данные пациента — имя, фамилия, пол, личный номер, гражданство, адрес, дата рождения, место жительства, образование, профессия, место работы;
-Контактная информация — адрес, номер телефона, адрес электронной почты;
-История болезни (данные особой категории) — информация о состоянии здоровья пациента, лечении, принимаемых лекарствах и перенесенных заболеваниях;
-Диагностические данные (данные особой категории) — результаты анализов, медицинские снимки и другая диагностическая информация, используемая для оценки состояния здоровья пациента.
-Финансовая и страховая информация – сведения, касающиеся данных о страховании пациента, информации об оплате и соответствующих записей;
Данные особой категории, касающиеся семейного положения и этнической принадлежности (семейное положение, количество детей, национальность);
-Генетические данные;
- Данные видеонаблюдения — записи с камер видеонаблюдения, установленных компанией AHT;
Записи прослушивания телефонных разговоров — аудиозаписи, сделанные через горячую линию AHT;
- любые другие данные, которые связаны с субъектом данных и с помощью которых можно идентифицировать и/или охарактеризовать субъекта данных, или/и объединение их с данными других пациентов на основании физических, физиологических, психологических, экономических, культурных или социальных характеристик человека.
Категория персональных данных сотрудников:
-Идентификационные данные работника — имя, фамилия, пол, личный номер, гражданство, адрес, дата рождения, место жительства, образование, профессия, место работы;
- Контактные данные сотрудника — адрес, номер телефона, адрес электронной почты;
-Документы, подтверждающие квалификацию сотрудника, — для обеспечения соответствия сотрудника требованиям конкретной должности.
- Информация о финансовых и страховых вопросах — сведения, касающиеся страхования сотрудника и выплаты ему заработной платы;
- Данные видеонаблюдения — записи с камер видеонаблюдения, установленных компанией AHT;
-Записи прослушивания телефонных разговоров — аудиозаписи, сделанные через горячую линию AHT;
- Данные особой категории — требования, установленные законодательством для определенных должностей, такие как периодические медицинские осмотры и другие проверки. Кроме того, информация, касающаяся судимости, для конкретной должности.
Соглашения с третьими сторонами:
- Идентификационные данные сторон сделки: фамилия, имя, отчество, личный номер (при необходимости), контактные данные, должности.
-Контактная информация — адрес, номер телефона, адрес электронной почты;
-Информация о финансовых и страховых вопросах – сведения, касающиеся финансового урегулирования;
12. Информирование субъекта данных при сборе данных непосредственно у него
При сборе данных непосредственно у субъекта данных компания AHT предоставляет ему как минимум следующую информацию до начала сбора данных или в момент его начала:
а) Название торговой марки и контактные данные компании AHT;
б) цели и правовые основания обработки;
в) об обязательности предоставления данных, а в случае обязательного характера предоставления данных — о правовых последствиях отказа от их предоставления, а также информацию о том, что сбор/обработка предусмотрены законодательством Грузии или являются необходимым условием для заключения договора (если такая информация доступна);
г) в связи с существенными законными интересами контролера, обработчика или третьего лица, если обработка персональных данных осуществляется в соответствии со статьёй 6(1)(f) Закона о защите персональных данных;
e) фамилия, имя и отчество, а также контактные данные сотрудника, ответственного за защиту данных (при наличии);
e) данные о получателе данных или категории получателей данных (если таковые имеются);
e) наличие надлежащих гарантий в отношении планируемой передачи и защиты данных, включая разрешение на передачу (если таковое требуется), в случае если такая передача планируется;
г) срок хранения данных или, если невозможно указать конкретный срок, критерии определения срока хранения;
i) О правах субъекта данных.
Для того чтобы клиника могла оказывать медицинские услуги пациенту. «Об утверждении Правил ведения амбулаторной медицинской документации» Приказ министра труда, здравоохранения и социальных вопросов Грузии от 15 августа 2011 г. № 01-41/n; «Об утверждении Правил ведения стационарной медицинской документации в медицинском учреждении» Приказ № 108/n Министра труда, здравоохранения и социальных вопросов Грузии от 19 марта 2009 г.; и В соответствии с Постановлением Правительства Грузии от 21 февраля 2013 г. «О некоторых мерах, подлежащих принятию для перехода к всеобщему медицинскому обслуживанию», необходимо обрабатывать идентифицирующие и контактные данные пациента. Кроме того, в соответствии с вышеупомянутыми и другими правовыми актами, регулирующими сектор здравоохранения, ведется медицинская история пациента, что предполагает обработку данных пациента, относящихся к особой категории.
В случае если персональные данные получены не непосредственно от субъекта данных, компания AHT обязана предоставить субъекту данных информацию, указанную в настоящей статье, Кроме того, AHT информирует субъекта данных о том, какие из его данных обрабатываются, и об источнике, из которого были получены данные, включая информацию о том, были ли данные получены из общедоступного источника.
Обязанность предоставлять информацию не распространяется на AHT, если:
сбор или раскрытие данных предусмотрены законом или необходимы для выполнения обязательств, установленных законодательством Грузии;
Субъект данных уже располагает предоставленной информацией;
-предоставление информации невозможно или потребовало бы несоразмерных усилий, либо выполнение обязательства в соответствии с настоящей статьёй нанесло бы серьёзный ущерб законной цели обработки данных или сделало бы её достижение невозможным достижение целей.
13. Права субъекта данных при обработке персональных данных
Мы защищаем права субъекта данных, гарантированные Законом Грузии «О защите персональных данных» и Общим регламентом по защите данных (GDPR) Европейского союза. Мы защищаем неприкосновенность частной жизни, как это гарантировано Законом Грузии «О правах пациента».
Учитывая характер нашей деятельности, важно обеспечить защиту следующих прав субъекта данных:
Право на получение информации об обработке данных
Субъект данных имеет право запросить следующую информацию, которую мы обязаны предоставить не позднее чем через 10 рабочих дней: какие данные о нем мы обрабатываем (идентифицирующие данные, история болезни, диагностические данные, финансовая информация, данные о семейном положении и другие данные особой категории); основание и цель обработки; источник, из которого были получены данные; срок хранения, а если невозможно указать конкретный срок, то критерии, по которым определяется срок хранения. Мы предоставляем субъекту данных информацию о правовом основании, цели и мерах безопасности, в соответствии с которыми мы раскрываем его данные третьим лицам.
Мы предоставим субъекту данных информацию об инциденте без неоправданной задержки, при первой же возможности, по его запросу (нарушение безопасности данных, повлекшее за собой незаконное или случайное уничтожение, утраты, несанкционированного раскрытия, уничтожения, изменения, доступа, сбора/извлечения или иной несанкционированной обработки) если инцидент может привести к значительному ущербу или значительному риску для основных прав и свобод субъекта данных. В случае инцидента субъект данных должен быть проинформирован об инциденте и его обстоятельствах; о вероятном или фактическом ущербе, причиненном инцидентом, о принятых или запланированных мерах по его смягчению или устранению, а также о контактных данных уполномоченного по защите данных.
Право на доступ и копирование данных
Субъект данных может бесплатно запросить копии своих персональных данных, которые мы обрабатываем. Мы можем взимать разумную плату в случае, если субъект данных запрашивает предоставление своих персональных данных в формате, отличном от того, в котором они хранятся, и это требует от нас дополнительных затрат. В этом случае взимаемая плата не превысит стоимости необходимых ресурсов.
Мы не передаем данные, содержащие личную информацию пациента (включая результаты анализов и обследований), третьим лицам, за исключением случаев, когда пациент дал на это письменное согласие.
Право на исправление, обновление и дополнение данных
Субъект данных имеет право потребовать исправления, обновления или дополнения неточных, неправильных или неполных персональных данных, касающихся его. Мы исправим ошибку как по запросу субъекта данных, так и в случае ее самостоятельного обнаружения, а также проинформируем об этом субъекта данных, за исключением случаев, когда ошибка носит технический характер. Если ошибка в персональных данных привела или может привести к значительным правовым, финансовым или иным последствиям для пациента, мы также сообщим об этом пациенту.
В случае возникновения ошибки мы также уведомим всех получателей данных, лицо, ответственное за любую иную обработку этих данных, а также любое уполномоченное лицо, которому мы раскрыли данные.
Право на ограничение обработки, удаление или уничтожение данных
Субъект данных имеет право потребовать от нас прекратить обработку его персональных данных и/или удалить или уничтожить хранящиеся у нас данные. Запрос должен быть удовлетворен не позднее чем через 10 рабочих дней.
В удалении и уничтожении данных субъекта данных может быть отказано лишь в исключительных случаях, предусмотренных законодательством Грузии, а именно:
- если существует иное правовое основание для обработки данных (требование законодательства, охрана общественного здоровья и т. п.);
данные обрабатываются в целях архивирования в общественных интересах, для научных или исторических исследований либо в статистических целях, а также ограничение обработки, реализация права на удаление или уничтожение данных сделала бы невозможным или серьезно затруднила бы достижение целей обработки.
если ограничение, удаление или уничтожение данных может повлечь за собой серьезные правовые или финансовые последствия для субъекта данных (например, пациент больше не будет получать государственную помощь или не сможет участвовать в государственной программе), мы информируем об этом пациента до того, как обработка будет остановлена и/или данные уничтожены.
Право на блокировку данных
Субъект данных имеет право потребовать ограничения обработки данных, если в соответствии с законом имеет место одно из следующих обстоятельств: субъект данных оспаривает законность или точность данных; обработка является незаконной, но субъект данных возражает против удаления данных и вместо этого запрашивает их ограничение; данные больше не требуются для целей, для которых они обрабатываются, но субъекту данных они необходимы для предъявления, осуществления или защиты правовых претензий; Субъект данных запросил ограничение или удаление данных, либо прекращение обработки, и данный запрос находится на рассмотрении; существует необходимость сохранить данные для использования в качестве доказательств.
В ограничении обработки данных субъекту данных может быть отказано лишь в тех случаях, которые предусмотрены законодательством Грузии.
если ограничение, удаление или уничтожение данных может повлечь за собой серьезные правовые или финансовые последствия для субъекта данных (например, пациент больше не будет получать государственную помощь или не сможет участвовать в государственной программе), мы информируем об этом пациента до того, как обработка будет остановлена и/или данные уничтожены.
Получение согласия и право на отзыв согласия
Перед началом обработки персональных данных мы предоставим субъекту данных полную информацию о наших процедурах обработки данных и принятых мерах безопасности.
Субъекту данных предоставляется форма согласия на обработку персональных данных в бумажном виде, и он подписывает этот документ после его ознакомления. Текст политики конфиденциальности также доступен на нашем веб-сайте.
Субъект данных имеет право отозвать свое согласие в любое время без объяснения причин или обоснования. Если, помимо согласия субъекта данных, не существует иных оснований для обработки, то после отзыва согласия обработка должна быть прекращена и/или обработанные данные должны быть удалены или уничтожены не позднее чем через 10 рабочих дней с момента получения запроса. Субъект данных имеет право отозвать свое согласие в той же форме, в которой оно было дано (в письменной форме).
Мы предоставим информацию о возможных последствиях отзыва согласия до того, как субъект данных это сделает (материальные, правовые и иные существенные последствия).
Право на апелляцию
Если компания AHT не выполнила действие, запрошенное субъектом данных, в частности: обработка данных субъекта не была прекращена и/или данные не были удалены или уничтожены, несмотря на запрос субъекта, субъект данных должен быть проинформирован о причине отказа и получить разъяснения относительно процедуры обжалования отказа.
Если AHT не исправит, не обновит или/и/или дополнение персональных данных, субъект данных должен быть проинформирован о причинах отказа в удовлетворении запроса и о порядке обжалования отказа.
Субъект данных имеет право в случае нарушения его прав и установленных порядков, предусмотренных Законом Грузии «О защите персональных данных», обратиться в Службу по защите персональных данных и/или в суд в порядке, установленном законом.
Право на переносимость данных
Субъект данных имеет право обратиться в компанию AHT и запросить предоставление своих персональных данных, обрабатываемых автоматизированным способом, в структурированном, широко используемом и машиночитаемом формате. Кроме того, субъект данных может запросить передачу этих данных другому контролеру в компании AHT, осуществляющему обработку данных.
14. Комиссия по защите прав субъектов данных
В целях эффективного обеспечения прав субъектов данных, предусмотренных настоящей политикой, в составе AHT создана Комиссия по защите прав субъектов данных, состав которой определяется приказом директора AHT. В состав Комиссии по защите прав субъектов данных входят 3 члена, включая председателя.
Субъект данных вправе обратиться в Комиссию по защите прав субъектов данных с заявлением или электронным письмом относительно осуществления прав, предусмотренных настоящей политикой. Отправив уведомление в Комиссию по защите прав субъектов данных по почте, субъект данных может реализовать права, предусмотренные настоящей Политикой. Комиссия рассмотрит уведомление в соответствии с процедурой, установленной Законом Грузии о защите персональных данных и настоящей Политикой.
Заявление/уведомление субъекта данных направляется уполномоченному по защите данных и в Комиссию по защите прав субъектов данных. Сотрудник по защите персональных данных направляет соответствующую рекомендацию в отношении заявления/предложения в Комиссию по защите прав субъектов данных.
По усмотрению председателя Комиссии по защите прав субъектов данных сотрудник компании AHT может привлекаться к работе Комиссии без права голоса с учетом специфики рассматриваемого вопроса.
Член Комиссии по защите прав субъектов данных обязан до начала рассмотрения заявления сообщить обо всех обстоятельствах, которые могут помешать ему принять беспристрастное решение по заявлению субъекта данных. При наличии таких обстоятельств член Комиссии по защите прав субъектов данных обязан заявить о наличии конфликта интересов. Если член Комиссии по защите прав субъекта данных не заявляет о наличии таких обстоятельств, и это становится известно Комиссии по защите прав субъекта данных в ходе рассмотрения заявления, то оценка заявления данным членом Комиссии по защите прав субъектов данных не будет учитываться при принятии окончательного решения.
Комиссия по защите прав субъектов данных уполномочена принимать решения, если на заседании присутствует более половины её членов.
Комиссия по защите прав субъектов данных принимает решения путем голосования; Решение считается принятым, если за него проголосовало более половины членов, присутствующих на заседании. В случае равенства голосов решающим является голос председателя.
Комиссия по защите прав субъектов данных принимает решения в соответствии с Законом Грузии «О защите персональных данных» и другими законодательными и подзаконными актами в порядке, установленном настоящей политикой.
Рассмотрение вопросов Комиссией по защите прав субъектов данных должно быть объективным, справедливым и беспристрастным.
Комиссия по защите прав субъектов данных уполномочена рассматривать заявления/уведомления субъектов данных, направленные с использованием средств электронной связи.
Мотивированное решение Комиссии заносится в протокол заседания, который подписывается председателем и присутствующими членами. Член Комиссии по защите прав субъекта данных вправе приложить к протоколу свое особое мнение, о чем делается соответствующая запись в протоколе.
В случае нарушения прав и установленных норм, предусмотренных Законом Грузии «О защите персональных данных», субъект данных имеет право обратиться в Комиссию по защите прав субъектов данных.
Субъект данных имеет право обжаловать решение AHT в Управлении по защите персональных данных и/или в суде.
15. Третьи стороны, которым мы раскрываем данные
Целью раскрытия информации третьим лицам является борьба с заболеваниями и их профилактика, сбор статистических данных, а также содействие реализации государственной программы по охране здоровья.
Медицинские данные (данные, позволяющие идентифицировать пациента, рецепт, диагноз, лечащий врач) Размещено на веб-сайте Министерства по делам внутренне перемещенных лиц, труда, здравоохранения и социальных вопросов Грузии: www.moh.gov.ge.
В соответствии с обязательствами и установленным порядком, предусмотренными законодательством Грузии, мы направляем/загружаем данные как в электронном, так и в бумажном виде:
В соответствии с установленным порядком реализации программы финансирования медицинских услуг в рамках государственных программ здравоохранения мы, как поставщик медицинских услуг, представляем документы на возмещение расходов в Министерство здравоохранения и социальной защиты. Документы на возмещение расходов представляются в бумажном и электронном виде. Перечень документов на возмещение расходов включает: имя, фамилию, персональный номер и дату рождения получателя услуг в рамках Государственной программы здравоохранения или копию свидетельства о рождении (при отсутствии персонального номера);
В соответствии с установленными законом обязательствами и в установленном порядке мы предоставляем информацию, содержащую персональные данные, Агентству социальных услуг, Службе страхового надзора и Службе мониторинга;
По истечении срока хранения бумажные документы передаются компании, с которой заключен договор на уничтожение, которая уничтожает персональные данные без возможности их восстановления.
16. Видеонаблюдение
Внешний периметр АХТ находится под видеонаблюдением. Об утверждении технических условий и правил эксплуатации автоматического фото- и видеооборудования, а также перечня зданий и сооружений, внешний периметр которых подлежит обязательному автоматическому фото- илии установки видеооборудованияустановки» Постановлением Правительства Грузии № 101 от 2 марта 2022 года, а также в целях общественной безопасности, безопасности пациентов и сотрудников, предупреждения преступлений и защиты имущества.
Предупреждение преступлений, выявление/расследование преступлений, обеспечение общественной безопасности, защита граждан и имущества, конфиденциальность для защиты информации и выполнения других важных задач, относящихся к сфере законных интересов Центра (включая управление инцидентами и защиту прав пациентов, мониторинг процессов, управление рисками и т. д.). В соответствии с требованиями, установленными Законом Грузии «О защите персональных данных», в AHT осуществляется видеонаблюдение за внешним и внутренним периметром здания (зданий), включая служебные помещения и рабочие зоны (в частности, кассу/приемную и помещения для хранения лекарств) с помощью системы видеонаблюдения в режиме 24/7. (далее — «Мониторинг»).
В случае проведения видеонаблюдения в заметном месте должен быть размещен соответствующий предупреждающий знак, а также каждый дополнительный сотрудник должен быть в письменной форме проинформирован о конкретных целях видеонаблюдения. Предупреждающий знак должен содержать соответствующую надпись, легко узнаваемый символ, указывающий на то, что ведется видеонаблюдение, а также имя и контактные данные лица, ответственного за обработку данных.
Видеонаблюдение запрещено в раздевалках и санитарных помещениях, а также в любых помещениях, где у человека есть обоснованные ожидания в отношении неприкосновенности частной жизни, или/и что видеонаблюдение противоречит общепринятым моральным нормам.
При использовании системы видеонаблюдения на рабочем месте все сотрудники компании AHT должны быть в письменной форме проинформированы о проведении видеонаблюдения и о своих правах.
Система видеонаблюдения и видеозаписи защищены от неправомерного вмешательства и использования, а доступ к ним ограничен исключительно уполномоченным персоналом. Мониторинг в режиме реального времени разрешен только должным образом уполномоченному персоналу (сотрудникам службы безопасности), и изображение на экране недоступно для каких-либо других лиц. Каждый случай доступа к видеозаписям регистрируется с указанием времени доступа и имени пользователя, что позволяет идентифицировать лицо, осуществившее доступ.
Документы хранятся в соответствии с установленными в AHT процедурами в течение срока, соответствующего законной цели.
17. Аудиомониторинг
Компания AHT осуществляет прослушивание телефонных разговоров на основании законного интереса в целях обеспечения контроля качества обслуживания и/или с согласия субъекта данных.
Прослушивание и запись телефонных разговоров с AHT осуществляется в соответствии с требованиями, установленными Законом Грузии «О защите персональных данных».
Во время телефонного разговора с AHT субъект данных информируется о записи телефонных разговоров в форме, соответствующей требованиям законодательства Грузии.
Аудиомониторинг на горячей линии осуществляется в AHT. () посредством звонка, поступающего от субъекта данных, на основании предварительного предупреждения и информирования о записи посредством звукового сигнала до начала аудиомониторинга в отношении субъекта данных.
Используя горячую линию AHT (телефонную связь), субъект данных дает согласие на обработку своих персональных данных. Если субъект данных не согласен с целями записи и/или не желает, чтобы его данные обрабатывались в условиях аудиомониторинга, он должен немедленно прекратить пользоваться услугой горячей линии.
Прослушивание телефонных разговоров осуществляется на протяжении всего времени их проведения, за исключением случаев, когда имеются смягчающие обстоятельства.
При использовании системы аудиомониторинга на рабочем месте все сотрудники компании AHT должны быть в письменной форме проинформированы о проведении мониторинга и своих правах.
Компания AHT имеет право использовать данную аудиозапись в качестве доказательства в соответствующих целях.
При необходимости АХТ также уполномочена осуществлять аудиомониторинг в других случаях, прямо предусмотренных законодательством Грузии, и соответствующим образом уведомлять об этом субъекта данных.
18. Обработка данных в целях прямого маркетинга
В маркетинговых целях компания AHT запрашивает и будет использовать ваши данные для предоставления вам информации об услугах, рекламных акциях, продуктах и предложениях. Ваши данные также будут проанализированы для понимания ваших желаний, потребностей и требований, что позволит принять решение о подходящей для вас услуге или предложении.
Компания AHT обрабатывает данные в целях прямого маркетинга исключительно с вашего согласия и на основании информации, которую вы предоставляете нам при использовании наших услуг.
Помимо вашего имени, фамилии, адреса, номера телефона и адреса электронной почты, для обработки любых других данных в целях прямого маркетинга требуется ваше письменное согласие.
Компания AHT прекратит обработку ваших данных в целях прямого маркетинга не позднее чем через 7 (семь) рабочих дней с момента получения вашего запроса.
Вы имеете право потребовать прекращения обработки ваших данных в целях прямого маркетинга тем же способом, в которой осуществляется прямой маркетинг, либо если указаны другие доступные и адекватные способы запроса о прекращении обработки данных (например, услуга SMS STOP и/или другие методы).
Вы имеете право отозвать свое согласие в любое время без каких-либо сборов или ограничений.
AHT фиксирует время и факт предоставления и отзыва вами согласия на обработку ваших данных, а данные, обрабатываемые в целях прямого маркетинга, хранятся до истечения срока, в течение которого может осуществляться прямой маркетинг.
19. Обработка данных уполномоченным лицом
Ваши персональные данные могут быть переданы только тем лицам, которые уполномочены клиникой на обработку персональных данных, в том числе компаниям-подрядчикам, предоставляющим соответствующие услуги.
Передача персональных данных лицу, уполномоченному осуществлять их обработку, осуществляется на основании договора, в котором указываются основания и цели обработки, категории данных, подлежащих обработке, срок хранения, а также права и обязанности контролера данных и субъекта данных и/или на основании правовой нормы.
Лицо, уполномоченное на обработку персональных данных, обязано соблюдать законодательство о защите персональных данных и обеспечивать конфиденциальность имеющейся в его распоряжении информации.
Лицо, уполномоченное на обработку персональных данных, обязано осуществлять такую обработку в пределах своих полномочий и в законных целях, что необходимо в соответствии с действующим законодательством и вытекает из существующих договорных отношений для предоставления соответствующих услуг, для управления и функционирования систем охраны здоровья, для обеспечения прав сотрудников и их реализации, для управления информацией о сотрудниках, для выполнения обязательств, установленных законом, а также для других необходимых целей.
Лицо, уполномоченное на обработку персональных данных, обязано не разглашать и не передавать персональные данные третьим лицам.
Лицо, уполномоченное осуществлять обработку данных, обязано обеспечивать защиту персональных данных, включая персональные данные особой категории и данные о здоровье (при их наличии), обрабатывать их добросовестно, законно и прозрачно, не нарушая прав субъектов данных.
Лицо, уполномоченное на обработку данных, которое в рамках договорных отношений осуществляет обработку персональных данных, несет ответственность за разглашение, незаконное использование или утрату персональных данных, незаконное получение, изменение, незаконное уничтожение и другие противоправные действия.
Все уполномоченные лица обязаны обрабатывать данные в целях, указанных клиникой, и соблюдать конфиденциальность полученной информации. Кроме того, уполномоченное лицо обязано обеспечить применение организационных и технических мер безопасности. Уполномоченное лицо несет полную ответственность за любой ущерб или убытки, причиненные клинике и/или третьим лицам в результате нарушения данных обязательств.
Лицо, уполномоченное на обработку персональных данных, по прекращении договорных отношений обязано незамедлительно обеспечить возвращение персональных данных лицу, ответственному за их обработку, прекращение обработки и удаление персональных данных из собственной базы данных.
Лицами, уполномоченными на обработку персональных данных, могут быть:
Поставщики лабораторных услуг;
Медицинские работники;
Поставщики услуг в сфере информационных технологий (ИТ);
Операторы системы электронных медицинских карт (EMR/EHR);
Компании медицинского страхования (для обработки страховых выплат);
Поставщики телефонных и коммуникационных услуг (например, для регистрации пациентов или предоставления информации);
Субъект данных имеет право в любое время обратиться в Службу по работе с пациентами и регистрации AHT и/или к уполномоченному по защите персональных данных для получения подробной информации о лицах, уполномоченных осуществлять обработку данных.
20. Безопасность данных
AHT обеспечивает надежную защиту персональных данных и принимает для этого все необходимые технические и организационные меры.
Мы защищаем персональные данные от несанкционированного или незаконного доступа, случайной утраты, повреждения, разглашения или уничтожения.
После достижения цели обработки персональных данных мы регулярно удаляем и уничтожаем персональные данные по истечении установленных сроков хранения без возможности восстановления либо сохраняем их в обезличенном виде для аналитических и статистических целей.
Наши сотрудники обязаны соблюдать конфиденциальность в соответствии как с трудовыми договорами, так и с правилами Центра. Это обязательство по соблюдению конфиденциальности сохраняется даже после прекращения действия трудового договора.
При обработке персональных данных компания AHT обеспечивает последовательное применение следующих соответствующих программных, электронных и цифровых мер по обеспечению безопасности данных:
Защита данных: применяется многоуровневый подход, сочетающий физические, технические и административные меры.
Безопасность цифровых и физических активов: На электронных устройствах, в цифровых файлах и на физических носиках данных активированы протоколы безопасности для защиты систем от несанкционированного доступа и обеспечения целостности данных.
Механизмы доступа и контроля: Для защиты от несанкционированного доступа, неправомерного использования или кражи внедрены системы контроля безопасности, ограничения доступа и системы видеонаблюдения.
- Строгое соблюдение требований и обучение: Персонал проходит обучение и обязан соблюдать политику защиты данных, которая соответствует как законодательным, так и внутренним нормам.
Мониторинг/регистрация: В электронных системах каждое изменение данных фиксируется в электронном журнале, что позволяет отслеживать все операции по обработке данных.
Конфиденциальность: В компании AHT строго соблюдается конфиденциальность персональных данных. Доступ к ним имеют только те сотрудники, которым эти данные необходимы для выполнения своих служебных обязанностей. Бумажные документы хранятся в специальном помещении, безопасность которого обеспечивается компанией AHT- благодаря принятым техническим и организационным мерам безопасности, при этом доступ к электронной базе данных защищен и возможен только для уполномоченного лица с использованием имени пользователя и пароля. Все сотрудники, имеющие доступ к информации, подписали соглашение о конфиденциальности, которое остается в силе даже после расторжения трудового договора.
Зона ожидания и система управления очередью — для лиц, ожидающих приема у врача, выделено специальное помещение, обустроенное таким образом, чтобы свести к минимуму риск непреднамеренного разглашения данных пациентов. Внедрена система номеров в очереди (каждого пациента вызывают по соответствующему номеру в очереди, а не по его идентифицирующим данным), а при записи на прием соблюдаются надлежащие интервалы.
Конфиденциальность во время консультации – Медицинский персонал обязан соблюдать конфиденциальность информации, полученной от пациента, в том числе во время консультации. Во время оказания медицинских услуг медицинский персонал не допускает присутствия посторонних лиц. Исключением из этого правила является просьба пациента о присутствии другого лица. Однако даже в таких случаях важно, чтобы медицинский персонал убедился в том, что согласие пациента на присутствие третьего лица во время консультации или иной медицинской процедуры является добровольным. Медицинский персонал беседует с пациентом в уединенном месте, чтобы предотвратить случайное или преднамеренное вторжение третьих лиц и/или разглашение подробностей консультации посторонним лицам.
Контроль за обработкой данных
Соблюдение настоящей Политики защиты персональных данных и действующего законодательства в сфере защиты персональных данных регулярно проверяется и контролируется. Проверки и контроль осуществляются сотрудниками структурных подразделений AHT, имеющими соответствующие полномочия, и/или уполномоченным лицом по защите данных.
Компания AHT обязана проводить периодические тренинги для своих сотрудников с целью обеспечения строгого соблюдения требований настоящей политики и законодательства о защите персональных данных.
Все соответствующие подразделения AHT обязаны обеспечить регистрацию всех действий, совершаемых с данными в электронной форме. При обработке данных в неэлектронной форме AHT должна обеспечить регистрацию всех действий, связанных с раскрытием и/или изменением данных.
Компания AHT и все её сотрудники, участвующие в обработке данных, обязаны не выходить за пределы своих полномочий. Кроме того, они обязаны соблюдать конфиденциальность данных, в том числе после прекращения выполнения своих служебных обязанностей.
21. Обязанности сотрудников AHT
Каждый сотрудник компании AHT обязан:
-Соблюдать положения документа о политике защиты данных AHT;
сотрудник компании AHT, связанный с ней трудовыми отношениями, который в целях выполнения своих служебных обязанностей и в пределах своей компетенции имеет доступ к персональным данным, в том числе осуществляет их обработку и ведет соответствующую документацию, как в электронном виде, так и на бумажных носителях, обязан соблюдать надлежащие правила обращения с документами, обеспечивать конфиденциальность записей, содержащихся в документации, и хранить указанную документацию в AHT – в безопасном, специально отведенном месте на территории AHT, где документация будет защищена от повреждения/уничтожения и от доступа третьих лиц.
-Сотрудник компании AHT, с которым установлены трудовые отношения и который в рамках выполнения своих служебных обязанностей/В законных целях сотрудник AHT, хранящий соответствующую документацию и обрабатывающий персональные данные физического лица в пределах своей компетенции, несет ответственность за защиту документации и раскрытие содержащихся в ней персональных данных, незаконное использование, утрата, незаконное приобретение, изменение и незаконное уничтожение.
Сотрудники AHT обязаны соблюдать законодательство Грузии в области защиты персональных данных и обеспечивать конфиденциальность любой информации о пациентах, находящейся в их распоряжении.
- В рамках трудовых отношений сотрудники AHT в ходе выполнения своих служебных обязанностей/в законных целях имеет доступ к персональным данным пациента и обрабатывает их в пределах своей компетенции и в рамках оказания медицинских услуг пациенту, несет ответственность за разглашение, незаконное использование, утрату, незаконное получение, изменение и незаконное уничтожение персональных данных пациентов.
Сотрудник компании AHT, находящийся в трудовых отношениях, который в ходе выполнения своих служебных обязанностей/в законных целях и в пределах своих полномочий хранит соответствующую документацию, включая обработку в пределах своих полномочий персональных данных особой категории физического лица, обязан руководствоваться и соблюдать Закон Грузии о защите персональных данных, соответствующие нормативные акты, медицинские рекомендации, другие правовые акты, а также соответствующие инструкции/внутренние правила/политику AHT.
В рамках трудовых отношений уполномоченный медицинский персонал обязан обрабатывать персональные данные пациентов в пределах своей компетенции и в законных целях в соответствии с действующим законодательством и/или вытекающих из оказания медицинских услуг, это необходимо для обеспечения надлежащего оказания услуг пациенту, для управления и функционирования систем здравоохранения, AHT для целей составления соответствующей отчетности AHT, выполнения установленных законом обязательств и для других необходимых целей.
-В случае, если речь идет о передаче персональных данных субъекта данных третьим лицам/компетентным органам, в первую очередь необходимо проверить законность такого запроса в юридическом отделе AHT и/илиили у уполномоченного по защите данных, предоставить им необходимую информацию/документацию и только после получения соответствующих консультаций и подтверждения раскрывать информацию от имени AHT;
Сотрудникам компании AHT запрещается оставлять без присмотра документы и файлы, содержащие персональные данные.
Сотрудник компании AHT обязан не разглашать и не передавать персональные данные других лиц третьим лицам. Обязанность по защите персональных данных сохраняется даже после прекращения трудовых отношений с компанией AHT. В случае нарушения этих требований компания AHT имеет право требовать, а сотрудник обязан возместить любой причиненный ущерб или убытки.
-не разглашать свой логин и пароль для доступа к рабочему компьютеру и/или программному обеспечению AHT каким-либо третьим лицам, включая других сотрудников;
-принять все необходимые меры для надлежащего обеспечения защиты данных от случайного или незаконного уничтожения, изменения, раскрытия, получения, любой другой формы незаконного использования, а также случайной или незаконной утраты.
Нарушение утвержденных правил и действующих норм по обработке персональных данных является основанием для привлечения сотрудника AHT к дисциплинарной ответственности.
22. Дисциплинарная ответственность
В случае нарушения требований действующего законодательства и политики Грузии компания AHT вправе применить к соответствующему сотруднику следующие дисциплинарные меры:
i. Предупреждение;
ii. Выговор;
iii. Удержание из заработной платы;
iv. Увольнение;
v. Возмещение ущерба.
Применение мер дисциплинарной ответственности в соответствии с Положением АХТ о дисциплинарной ответственности, определяет степень дисциплинарного взыскания, налагаемого в соответствии с Правилами AHT о дисциплинарных взысканиях, в каждом конкретном случае на основе оценки фактических обстоятельств и тяжести нарушения.
23. Хранение данных и сроки
AHT хранит персональные данные в защищённой среде.
Компания AHT определяет сроки хранения данных для каждой категории данных индивидуально, исходя из требований законодательства, своих законных интересов и целей.
Компания AHT руководствуется следующими критериями в отношении сроков хранения данных:
Установленные законом сроки;
Сроки, указанные в договоре;
Сроки, определяемые правилами истечения срока действия/архивирования (за исключением исправлений);
Сроки проведения проверок надзорным органом;
Наличие законной цели и/или законного интереса;
Особенности/масштаб предоставления услуг;
Соблюдение законодательства, а в случаях, не охваченных законодательством, — соблюдение внутренних правил.
24. Уполномоченный по защите данных
В соответствии с требованиями и сроками, установленными законодательством о защите персональных данных, в компании AHT назначен ответственный за защиту персональных данных.
Специалист по защите данных является независимым лицом, которое консультирует компанию AHT и её обработчиков данных, предоставляет экспертные рекомендации по соблюдению требований в области защиты данных и выполняет другие функции, связанные с защитой данных.
Специалист по защите данных компании AHT Мариам Гохидзе (номер 61004059390).
Субъект данных имеет право обратиться к уполномоченному по защите данных (pdpo@ahtbilisi.com), и в таком случае сотрудник обязан предоставить информацию об обработке данных и о правах гражданина.
Заключительные положения
Если какое-либо положение может быть истолковано неоднозначно или при его применении возникает противоречие, Компания обязана отдавать приоритет максимальной защите персональных данных и приводить свои действия в соответствие с действующим законодательством Грузии в пользу защиты персональных данных.
Вопросы, полностью урегулированные настоящими положениями, могут утверждаться дополнительными распоряжениями, а также путем внесения изменений в настоящие положения и/или дополнения их положениями, предусмотренными действующим законодательством Грузии.
Сведения, изложенные в данных положениях, не означают и не подтверждают, что Компания осуществляет обработку данных; данные положения определяют правила, которые необходимо соблюдать в случае обработки данных.
Изменения в политике
AHT оставляет за собой право вносить изменения в настоящую политику в любое время, о чем субъект данных будет проинформирован всеми возможными способами.
Осуществление прав
Клиент/пациент вправе в любое время обратиться в компанию AHT за информацией, касающейся настоящей политики, по следующему адресу: Тбилиси; электронная почта: — ; либо связаться с сотрудником AHT, ответственным за защиту данных. Мариам Гохидзе (номер 61004059390), pdpo@ahtbilisi.com и/или в «Комиссию по защите прав субъектов данных» компании AHT по следующему адресу электронной почты — chancellery@ahtbilisi.com.
Директор
Джозеф Шалев
Russian 
Georgian 
English