text

Обработка и защита персональных данных пациентов медицинских учреждений

  • 8 декабря 2017
  • 928
https://ru.freepik.com
https://ru.freepik.com

Медучреждения должны сохранять в тайне персональные данные своих пациентов, контроль данной деятельности осуществляют Роскомнадзор и ФСБ. Ниже мы узнаем, как медучреждения проводят обработку и защиту персональных данных клиентов, каким образом происходит проверка этой деятельности надзорными органами, а кроме того, какая ответственность грозит медицинским организациям в случае несоблюдения правил работы с персональными данными.

Персональные данные пациента: законодательная база

Пациенты медицинских организаций являются носителями персональных данных, их защиту в данном качестве регулирует Федеральный закон «О персональных данных», утвержденный в 2006 году. В этом правовом акте подробно расписаны и увеличены права пациентов, кроме того, определены необходимые условия работы с ними для медучреждений.

Так, в акте содержится конкретный пункт, обязывающий медучреждения в обязательном порядке оповещать своих пациентов об обработке их персональных данных. Или, к примеру, одной из главных обязанностей учреждения является получение согласия пациента на обработку персональных данных, когда необходимо ввести эти данные в информационные базы. Кроме того, определенные условия в этой сфере устанавливает Постановление Правительства No 687 от 15.09.2008 года. Именно им формируется ход работы с персональными данными, хранящимися в медицинских учреждениях в виде документов. В данном случае имеются в виду истории болезни и медицинские карты пациентов.

Обработка персональных данных пациентов: требования к стандартным формам медорганизаций

Уже упомянутое нами Постановление No 687 содержит и условия обработки персональных данных пациентов медучреждения. Скажем, информация должна храниться отдельными документами или располагаться в особых частях документа (например, на полях).

  • если работа со сведениями о клиентах осуществляется без использования специальных программ, то их следует разделять с остальной информацией
  • сведения о пациенте, имеющие различное назначение, в ходе обработки не должны содержаться в одном документе
  • различные виды персональных данных должны иметь свой особый вид типового документа.

Согласно требованиям к обработке персональных данных пациента, к типовым формам медицинских учреждений применяются следующие условия:

1.  Стандартные формы для регистрации персональных данных включают в себя определенные данные:

  • цель получения сведений
  • наименование организации, собирающей эти сведения
  • информация о самом клиенте и о том, откуда она была получена
  • время, в течение которого будет происходить обработка персональных данных. А также перечень действий, которые предполагается осуществлять с ними
  • методы работы с персональными данными.

Минздрав создал некоторые типовые бланки до того, как был утвержден закон о защите персональных данных, поэтому с исполнением требований новых мер безопасности могут возникнуть проблемы. По этой причине Минздрав поэтапно вводит в использование новые виды бланков, соответствующие нормативному акту.

2.  Каждый типовой бланк должен иметь определенное место, где клиент может оставить подпись, предоставляя, таким образом, согласие пациента на обработку персональных данных.

3.  Конструкция бланков должна быть устроена таким образом, чтобы клиент мог получить доступ к сведениям о себе, но при этом не увидел информации об иных больных.

Защита персональных данных пациентов: кто и как контролирует  

Защитой прав носителей персональных данных занимается Роскомнадзор. Любая медицинская организация обязана извещать это ведомство о том, что она производит обработку персональных данных своих клиентов. За тем, насколько исполняется закон, надзирают ФСБ, ФСТЭК и прокурорские органы на местах. При проведении проверок в медучреждениях компетенции этих ведомств точно разделены.

Главной целью ФСБ является осуществление надзора в сфере обеспечения защиты и конфиденциальности персональных данных пациентов. Обработка персональных данных привлекает их внимание в основном со стороны обеспечения безопасности этого процесса.

ФСТЭК обладает более широкой компетенцией. Учреждение проводит проверку:

  • законности содержимого внутренней документации по охране данных
  • корректности проводимых действий по охране сведений
  • правомерности использования определенной техники, специализирующейся на охране данных.

Кроме того, проверку проходят и сама техника.

К примеру, медицинскую организацию могут проверить на наличие разрешения клиентов на обработку персональных данных, а также на их распространение третьим лицам, если это предусмотрено законом.  Интересный факт – ФСБ или ФСТЭК имеют право контролировать процесс организации работы со сведениями о больных, изучать внутренние документы, касающиеся этой темы и т.д. Но у них нет доступа к тем документам, которые содержат сами персональные данные пациента (истории болезни или медицинские карты), так как это является врачебной тайной.

Круг обязанностей медицинской организации по защите персональных данных пациентов

1.  С целью реализации методов защиты данных клиентов медицинская организация должна провести обследование собственных баз данных. В результате этого формируется специальный акт, отображающий их состояние. Вся информация делится по классам безопасности, а базы данных подлежат систематизации по объему информации о клиенте и вероятному наличию опасности разглашения персональных данных.

2.  Если сведения о пациентах относятся к классам К1-К3, то требуется специальное разрешение ФСТЭК для технической охраны данных.

3.  У медицинской организации должно быть положение оператора персональных данных.

4.  Медучреждение продумывает процесс приобретения и хранения разрешений клиентов на действия, которые относятся к использованию их персональных данных. Кроме того, должен быть организован процесс уведомления пациентов об обработке их личных данных, в случае наличия надлежащих запросов.

5.  Гарантии безопасности персональных данных должны быть выработаны соответственно делению на классы.

6.  Организация должна проанализировать и оценить свои базы данных.

7.  Кроме того, оператор должен обеспечить обучение сотрудников, а также закупить устройства, которые нужны для защиты персональных данных.

Ответственность за несоблюдение правил обработки персональных данных пациента

В случае несоблюдения правил работы с персональными данными наступает административная ответственность, которая установлена ст.13.11 КоАП РФ. Наказанием за данное нарушение будет являться денежный штраф, размер которого увеличился с 1 июля 2017 г., и в настоящее время может достигать 75 тысяч рублей. В приведенной ниже таблице можно рассмотреть список административных нарушений и тех штрафов, которые за них полагаются.

Вид нарушения

Штраф для

юрлиц, тыс.

рублей

Пояснения для главврача

Обработка персональных данных не соответствует заявленным целям

30-50

Периодически в клинике запрашивают у пациентов согласие на обработку данных о семейном, имущественном положении, образовании, работе, доходах и др. При отказе пациента подписывать, ему не предоставляют медицинскую услугу

Здесь нужно оценить, повлияет ли как-то отсутствие этой информации на оказание услуги. Если проблемы с этим нет, отказывать в обслуживании не нужно. 

Санкции проверяющих инстанций в данной ситуации можно оспорить, и часто решение суда оправдывает клиники. Список данных, необходимых для занесения в согласие, указан в ч.2 ст.9 ФЗ от 27.07.2006 №152-ФЗ.

Отсутствие письменного согласия пациента на обработку персональных данных

15-75

Письменное согласие требуется не всегда. Исключения указаны ч.2 ст.6 ФЗ от 27.07.2006 №152-ФЗ. Так, если обработка персональных данных требуется для обеспечения защиты жизни и здоровья гражданина, а получить согласие невозможно.

Кроме того, биометрические данные можно обрабатывать исключительно по письменному согласию (ст.11 ФЗ от 27.07.2006 №152-ФЗ). Скажем, дактилоскопические данные, радужная оболочка глаз, анализы ДНК, рост, вес, изображение человека. Рентгеновские и флюорографические снимки биометрическими данными не являются (разъяснение Роскомнадзора от 30.08.2013).

ВАЖНО!
Наиболее значимыми поправками к закону стали увеличение суммы административного штрафа до 75 тыс. Кроме того, обозначены новые основания для привлечения виновных лиц к ответственности. Новыми полномочиями теперь обладает Роскомнадзор – разрешение для возбуждения административного дела по поводу нарушения персональных данных после изучения сайта клиники без предварительного уведомления.

Мы в соцсетях
×
Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Когда вы посещаете страницы сайта, мы обрабатываем ваши данные и можем передать сторонним партнерам. Если согласны, продолжайте пользоваться сайтом. Если нет – обратитесь в техподдержку.