Обработка персональных данных в медицинской организации

16

За последние несколько лет в области защиты персональных данных произошли существенные изменения, обусловленные вступлением в силу новых нормативных актов. В Федеральном законе от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» (далее — Закон № 323- ФЗ) законодатель подробно прописал новые обязанности медицинской организации по ведению персонифицированного учета при осуществлении медицинской деятельности (ст. 91 — 94). Ранее, 25 июля 2011 г., вступили

в действие изменения, внесенные в Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ) и касающиеся способов работы с персональными данными, многие понятия изложены в новой редакции.

Согласно новой редакции ст. 3 Закона № 152-ФЗ, персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (ранее это были сведения, относящиеся к физическому лицу только прямо).

До введения в действие новой редакции закона обработка персональных данных в компьютерной системе не приравнивалась к обработке сведений с помощью средств автоматизации. Закон № 152-ФЗ установил новое понятие: автоматизированная обработка персональных данных — обработка персональных данных с помощью средств вычислительной техники. В настоящее время вся обработка персональных данных с использованием вычислительной техники считается автоматизированной, поэтому каждый оператор обязан привести в соответствие с этими требованиями систему защиты обрабатываемой информации.

Важное изменение коснулось и общедоступных данных. Теперь это понятие исключено — вся информация, относящаяся к конкретному физическому лицу, защищается.

В связи с указанными нововведениями медицинской организации следует провести ряд необходимых мероприятий по обеспечению информационной безопасности при работе с персональными данными.

Составление графика мероприятий

В первую очередь в медицинском учреждении целесообразно составить график мероприятий по организации

обработки и защиты персональных данных (образец 1), однако с учетом того что Закон № 152-ФЗ в полную силу заработал еще в 2010 г.2 и соответственно большая часть мероприятий и требований закона должна была быть выполнена к 1 января 2010 г. Поэтому, скорее всего, потребуется внести коррективы в положения и регламенты медицинской организации в связи с изменениями законодательства.

Назначение ответственного

Работник учреждения здравоохранения приказом руководителя (главного врача) назначается ответственным за организацию обработки персональных данных во исполнение норм ст. 22.1 Закона № 152-ФЗ (образец 2).

В его обязанности согласно закону входит:

— контроль над соблюдением оператором и сотрудниками медицинской организации законодательства о персональных данных и требований к их защите;

— доведение до сведения работников медицинской организации положений законодательства и иных актов (например, локальных актов учреждения), регламентирующих процессы обработки персональных данных, и требований к их защите;

— организация приема и обработки обращений и запросов субъектов персональных данных (работников медицинской организации и пациентов) и контроль над их приемом и обработкой.

Ответственный сотрудник получает указания непосредственно от руководства медицинской организации и подотчетен только ему (ч. 2 ст. 22.1 Закона № 152-ФЗ). Соответствующие изменения и дополнения необходимо внести и в должностную инструкцию работника, ответственного за указанную часть работы в учреждении здравоохранения.

Обследование информационной системы медицинской организации

Обследование информационной системы осуществляется с целью систематизации сведений об организации и обрабатываемых данных, выделения систем обработки персональных данных и их классификации в соответствии со ст. 19 Закона № 152-ФЗ, нормативными и методическими документами.

При проведении данного этапа работы по обеспечению информационной безопасности при обработке персональных данных необходимо руководствоваться следующими документами:

— постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;

— Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной ФСТЭК России 14.02.2008;

— Методическими рекомендациями по оснащению медицинских учреждений компьютерным оборудованием и программным обеспечением для регионального уровня единой государственной информационной системы в сфере здравоохранения, а также функциональными требованиями к ним, утвержденными Минздравсоцразвития России 03.05.2012;

— Методическими рекомендациями для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости, утвержденными Минздравсоцразвития России 23.12.2009;

— Методическими рекомендациями по составлению частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений здравоохранения, социальной сферы, труда и занятости, утвержденными Минздравсоцразвития России 23.12.2009;

— Методическими рекомендациями по проведению в 2011 — 2012 гг. работ по информационной безопасности для регионального уровня Единой государственной информационной системы в сфере здравоохранения, утвержденными Минздравсоцразвития России (опубликованы 31.08.2011 на официальном сайте Минздравсоцразвития России).

Система обеспечения информационной безопасности в медицинской организации

Субъекты персональных данных (работники медицинской организации и пациенты), передавая сведения о себе, вправе рассчитывать на соблюдение конфиденциальности при использовании данной информации в медицинской организации. Это подразумеваетне только применение технических средств защиты (специальные сертифицированные программные и технические средства защиты информации), но и проведение комплекса организационных мероприятий, направленных на предотвращение потери, искажения и несанкционированного доступа к персональным данным.

Указанный комплекс мероприятий должен включать разработку следующей необходимой документации: должностные инструкции, положения об обработке персональных данных, приказы, журналы (журнал регистрации выявленных нарушений, журнал регистрации используемого программного обеспечения, журнал по учету носителей информации, содержащих персональные данные, журнал учета обращений граждан (субъектов персональных данных)), обязательства медицинского работника о неразглашении данных, регламенты взаимодействия между подразделениями медицинской организации, регламенты использования программного обеспечения, ресурсов сети Интернет, требования к профессиональной подготовке персонала.

Здесь необходимо отметить, что для создания системы защиты информации медицинской организации следует обратиться к организациям, имеющим соответствующие лицензии ФСТЭК России, ФСБ России на деятельность по технической защите информации. Согласно информационному сообщению ФСТЭК России об особенностях защиты персональных данных при их обработке в информационных системах персональных данных и сертификации средств защиты информации, предназначенных для защиты персональных данных, от 20.11.2012 № 240/24/4669, в настоящее время ведомство завершает работу по подготовке проекта приказа, устанавливающего состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке.

В настоящее время данный документ не утвержден, поэтому проведение работ в медицинской организации по этому направлению пока преждевременно.

Направление уведомления об обработке данных

Согласно ст. 23 Закона № 152-ФЗ Роскомнадзор является уполномоченным органом по защите прав субъектов персональных данных, который ведет реестр операторов.

В соответствии со ст. 22 данного закона оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку (образец 3). При этом медицинские организации не обязаны подавать уведомление об обработке следующих данных:

— обрабатываемых в соответствии с Трудовым кодексом РФ;

— полученных в связи с заключением договора, стороной которого является субъект персональных данных, если данные не распространяются без согласия лица и используются оператором исключительно для исполнения договора;

— сделанных субъектом персональных данных общедоступными;

— включающих только фамилии, имена и отчества;

— необходимых в целях однократного пропуска лица на территорию, на которой находится оператор, или в иных аналогичных целях;

— включенных в информационные системы персональных данных, имеющие статус государственных автоматизированных информационных систем;

— обрабатываемых без использования средств автоматизации в соответствии с законодательством, устанавливающим требования к обеспечению безопасности данных при их обработке.

Особо необходимо отметить, что в новой редакции Закона № 152-ФЗ скорректирован срок, в пределах которого операторы обязаны представить в Роскомнадзор предусмотренные Законом № 152-ФЗ сведения: если операторы обрабатывали персональные данные до 1 июля 2011 г., то все необходимые сведения они должны были подать не позднее 1 января 2013 г.

За непредоставление или несвоевременное предоставление уведомления на организацию может быть наложен штраф в размере от 3 тыс. до 5 тыс. руб., а на должностное лицо — от 300 до 500 руб. (ст. 19.7 Кодекса  РФ об административных правонарушениях).

Согласие субъекта на обработку персональных данных

Согласно законодательству, обработка специалвных категорий персональных данных должна осуществляются с письменного согласия субъекта персональных данных (ст. 6, 9, 10 Закона № 152-ФЗ, ч. 3 ст. 13 Закона № 323-ФЗ). Состав сведений, указываемых в согласии пациента на обработку его персональных данных (образец 4), перечислен в ст. 9 Закона № 152-ФЗ:

— фамилия, имя, отчество, адрес пациента; реквизиты документа, удостоверяющего его личность;

— наименование и адрес оператора, получающего согласие;

— цель обработки персональных данных;

— перечень персональных данных, на обработку которых дается согласие пациента;

— наименование и адрес лица, осуществляющего обработку персональных данных по поручению оператора;

— перечень действий с персональными данными, описание способов обработки;

— срок, в течение которого действует согласие, способ его отзыва;

— подпись пациента.

Как уже было указано выше, письменное согласие работника медицинской организации на обработку его персональных данных не требуется. Также нет необходимости в его оформлении при передаче информации в федеральный регистр медицинских и фармацевтических работников, поскольку это предусмотрено ст. 92 и 93 Закона № 323-ФЗ.

Необходимость оформления письменного согласия работника возникает, если в работе медицинской организации используется фотография работника (биометрические персональные данные), например, размещается на информационном стенде, в сети Интернет, на сайте учреждения (ст. 11 Закона № 152-ФЗ).

Согласие пациента на обработку персональных данных не требуется в следующих случаях:

— медицинская помощь оказывается по программе обязательного медицинского страхования, и персональные данные передаются только в территориальный фонд ОМС и страховую организацию (ст. 38, 39, 43, 44 и 48 Федерального закона от 29.11.2010 № 326- ФЗ «Об обязательном медицинском страховании в Российской Федерации»);

— персональные данные пациента о состоянии его здоровья передаются третьим лицам (ч. 4 ст. 13 Закона № 323-ФЗ):

— если пациент в результате своего состояния не способен выразить свою волю, но ему необходимо лечение;

— при угрозе распространения инфекционных заболеваний, массовых отравлений;

— по запросу органов дознания и следствия, суда, органа уголовно-исполнительной системы;

— в случае оказания медицинской помощи несовершеннолетнему;

— в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются основания полагать, что вред его здоровью причинен в результате противоправных действий;

— в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов;

— в целях расследования несчастного случая на производстве и профессионального заболевания;

— при обмене информацией медицинскими организациями, в т. ч. размещенной в информационных системах, в целях оказания медицинской помощи;

— в целях осуществления учета и контроля в системе обязательного социального страхования;

— в целях осуществления контроля качества и безопасности медицинской помощи.

Письменное согласие пациента на передачу (предоставление) его персональных данных, составляющих врачебную тайну, требуется в случаях, когда:

— медицинская помощь оказывается пациенту на платной основе, вне программы государственных гарантий, и сведения передаются третьим лицам (организациям), не являющимся медицинскими организациями, например в

страховую компанию и (или) страхователю по дополнительному медицинскому страхованию;

— информация о состоянии здоровья пациента передается лицам, указанным самим пациентом или его законным представителем (ч. 5 ст. 19 Закона № 323-ФЗ); в согласии должны быть указаны фамилия, имя, отчество и контактные данные этих лиц (при этом можно считать, что пациент является представителем этих лиц, в связи с чем их специальное письменное согласие на обработку (хранение) указанных персональных данных в медицинском учреждении не требуется (ч. 1 и 8 ст. 9 Закона № 152-ФЗ);

— передача персональных данных (документов) пациента производится по открытым каналам связи (сети Интернет, электронной почте), например, при проведении дистанционных (телемедицинских) консультаций;

— осуществляется трансграничная передача персональных данных пациента, например, при осуществлении телемедицинских консультаций с участием врачей, находящихся в странах, не являющихся сторонами Конвенции Совета Европы по защите физических лиц при автоматизированной обработке персональных данных или не включенных в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, утверждаемый Роскомнадзором4 (ст. 12 Закона № 152-ФЗ).

В случаях, когда в информационной системе медицинского учреждения хранятся и обрабатываются биометрические данные пациента (данные геометрии контура кисти руки, изображения отпечатка пальца, сосудистого русла, изображение радужной оболочки глаза, изображение (фотография) лица, данные ДНК и др.), на это также необходимо его специальное письменное согласие (ст. 11 Закона № 152-ФЗ).

Опубликование сведений о медицинских работниках

Согласно п. 7 ст. 21 и п. 7 ст. 79 Закона № 323-ФЗ при выборе врача и медицинской организации гражданин имеет право на получение информации в доступной для него форме, в т. ч. размещенной в информационно-телекоммуникационной сети Интернет, о медицинской организации, об осуществляемой ею медицинской деятельности и о врачах, об уровне их образования и квалификации.

Ознакомление с персональными данными пациентов

Согласно ст. 20 Закона № 152-ФЗ, медицинская организация обязана предоставить безвозмездно пациенту возможность ознакомления с его персональными данными. В срок, не превышающий семи рабочих дней со дня предоставления пациентом сведений, подтверждающих, что персональные данные были получены незаконно или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные.

Основания, порядок и сроки предоставления медицинских документов (их копий) пациенту устанавливаются Минздравом России (ч. 5 ст. 22 Закона № 323-ФЗ). Но подобный документ пока еще не разработан.



Подписка на статьи

Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

Мероприятия

Мероприятия

Повышаем квалификацию

Посмотреть

Самое выгодное предложение

Самое выгодное предложение

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией

А еще...

Интервью

Врачей обяжут сообщать о потенциальных донорах

Врачей обяжут сообщать о потенциальных донорах

Алексей ПИНЧУК: журналу «Здравоохранение». Главные темы беседы – изменение правового поля донорства в России




Наши продукты




















© МЦФЭР, 2006 – 2016. Все права защищены.

Портал zdrav.ru - медицинский портал для медицинских работников. Новости и статьи для главных врачей, медицинских сестер, заместителей главного врача, специалистов по качеству медицинской помощи, заведующих КДЛ, медицинских юристов, экономистов ЛПУ, провизоров и руководителей аптек.

Информация на данном сайте предназначена только для медицинских работников. Ознакомьтесь с соглашением об использовании.
Свидетельство о регистрации средства массовой информации Эл № ФС77-38302 от 30.11.2009


  • Мы в соцсетях
Сайт предназначен для медицинских работников!

Чтобы продолжить чтение статей на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
Это займет всего 57 секунд. Для вас будут доступны:

— 9400 статей
— 4000 ответов на вопросы
— 80 видеосеминаров
— множество форм и образцов документов
— бесплатная правовая база
— полезные калькуляторы

Вы также получите подарок — журнал в формате pdf

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Сайт предназначен для медицинских работников!

Чтобы продолжить чтение статей на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
Это займет всего 57 секунд. Для вас будут доступны:

— 9400 статей
— 4000 ответов на вопросы
— 80 видеосеминаров
— множество форм и образцов документов
— бесплатная правовая база
— полезные калькуляторы

Вы также получите подарок — pdf- журнал «Здравоохранение»

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×
Сайт предназначен для медицинских работников!

Чтобы скачать файл на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
Это займет всего 57 секунд. Для вас будут доступны:

— 9400 статей
— 4000 ответов на вопросы
— 80 видеосеминаров
— множество форм и образцов документов
— бесплатная правовая база
— полезные калькуляторы

Вы также получите подарок — pdf- журнал «Здравоохранение»

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×
Сайт предназначен для медицинских работников!

Чтобы скачать файл на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
Это займет всего 57 секунд. Для вас будут доступны:

— 9400 статей
— 4000 ответов на вопросы
— 80 видеосеминаров
— множество форм и образцов документов
— бесплатная правовая база
— полезные калькуляторы

Вы также получите подарок — pdf- журнал «Здравоохранение»

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль