Обработка персональных данных в медицинской организации

27907

Рассмотрим необходимые мероприятия по обеспечению информационной безопасности при обработке персональных данных в медицинской организации.

Мероприятия по организации обработки персональных данных

В первую очередь целесообразно составить график мероприятий по организации обработки и защиты личных данных. 

Новые требования к обработке персональных данных >> 

Ответственный за организацию обработки личных данных

Работник учреждения здравоохранения назначается ответственным за организацию обработки персональных данных во исполнение норм ст. 22.1 Закона № 152-ФЗ приказом руководителя (см. образец). В его обязанности теперь также входит:

  • осуществление контроля над соблюдением оператором и сотрудниками медицинской организации законодательства о персональных данных и требований к их защите;
  • доведение до сведения работников медицинской организации положений законодательства и иных актов (например, локальных актов учреждения), регламентирующих процессы обработки персональных данных, и требований к их защите;
  • организация приема и обработки обращений и запросов субъектов персональных данных (работников медицинской организации и пациентов) и осуществление контроля над их приемом и обработкой.

Ответственный сотрудник получает указания непосредственно от руководства медорганизации и подотчетен только ему (ч. 2 ст. 22.1 Закона № 152-ФЗ). Соответствующие изменения и дополнения необходимо внести и в должностную инструкцию работника, ответственного за указанную часть работы.

Обследование информационной системы медорганизации

Обследование инфосистемы осуществляется с целью систематизации сведений об организации и обрабатываемых данных, выделения систем обработки персональных данных и их классификации в соответствии со ст. 19 Закона № 152-ФЗ, нормативными и методическими документами.

При проведении данного этапа работы необходимо руководствоваться следующими документами:

  1. Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных».
  1. Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной ФСТЭК России 14.02.2008.
  1. Методические рекомендаци по оснащению медицинских учреждений компьютерным оборудованием и программным обеспечением для регионального уровня единой государственной информационной системы в сфере здравоохранения, а также функциональными требованиями к ним, утвержденными Минздравсоцразвития России 03.05.2012.
  1. Методическими рекомендациями для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости, утвержденными Минздравсоцразвития России 23.12.2009;
  1. Методическими рекомендациями по составлению частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений здравоохранения, социальной сферы, труда и занятости, утвержденными Минздравсоцразвития России 23.12.2009;

  1. Методическими рекомендациями по проведению в 2011–2012 гг. работ по информационной безопасности для регионального уровня Единой государственной информационной системы в сфере здравоохранения, утвержденными Минздравсоцразвития России (опубликованы 31.08.2011 на официальном сайте Минздравсоцразвития России).

 

Читайте бесплатно в системе «Экономика ЛПУ»

Создание системы обеспечения информационной безопасности

Обработка персональных данных в медицинской организацииСубъекты персональных данных (работники медицинской организации и пациенты), передавая сведения о себе, вправе рассчитывать на соблюдение конфиденциальности при использовании данной информации в медицинской организации.

Это подразумевает не только применение технических средств защиты (специальные сертифицированные программные и технологии защиты информации), но и проведение комплекса организационных мероприятий, направленных на предотвращение потери, искажения и несанкционированного доступа к персональным данным.

Указанный комплекс мероприятий должен включать разработку следующей необходимой документации:

  1. должностные инструкции;
  2. положения об обработке персональных данных;
  3. приказы;
  4. журналы:
  • о регистрации выявленных нарушений;
  • о регистрации используемого программного обеспечения;
  • по учету носителей информации, содержащих личные сведенич;
  • учета обращений граждан (субъектов персональных данных;
  1. обязательства медицинского работника о неразглашении данных;
  2. регламенты взаимодействия между подразделениями медицинской организации;
  3. регламенты использования программного обеспечения;
  4. регламенты использования ресурсов сети Интернет;
  5. требования к профессиональной подготовке персонала.

Здесь необходимо отметить, что для создания системы защиты информации медицинской организации следует обратиться к организациям, имеющим соответствующие лицензии ФСТЭК России, ФСБ России на деятельность по технической защите информации.

Согласно информационному сообщению ФСТЭК России об особенностях защиты персональных данных при их обработке в информационных системах персональных данных и сертификации средств защиты информации, предназначенных для защиты персональных данных, от 20.11.2012 № 240/24/4669, в настоящее время ведомство завершает работу по подготовке проекта приказа, устанавливающего состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке.

На начало 2010 года данный документ не был утвержден.

Направление уведомления об обработке персональных данных

Согласно ст. 23 Закона № 152-ФЗ Роскомнадзор является уполномоченным органом по защите прав субъектов персональных данных, который ведет реестр операторов. В соответствии со ст. 22 данного закона оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку.

При этом медицинские организации не обязаны подавать уведомление об обработке следующих данных:

  • обрабатываемых в соответствии с Трудовым кодексом РФ;
  • полученных в связи с заключением договора, стороной которого является субъект персональных данных, если данные не распространяются без согласия лица и используются оператором исключительно для исполнения договора;
  • сделанных субъектом персональных данных общедоступными;
  • включающих только фамилии, имена и отчества;
  • необходимых в целях однократного пропуска лица на территорию, на которой находится оператор, или в иных аналогичных целях;
  • включенных в информационные системы персональных данных, имеющие статус государственных автоматизированных информационных систем;
  • обрабатываемых без использования средств автоматизации в соответствии с законодательством, устанавливающим требования к обеспечению безопасности данных при их обработке.

Форма уведомления и рекомендации по ее заполнению содержатся в приказе Роскомнадзора от 19.08.2011 № 706 «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных».

Особо необходимо отметить, что в новой редакции Закона № 152-ФЗ скорректирован срок, в пределах которого операторы обязаны представить в Роскомнадзор предусмотренные Законом № 152-ФЗ сведения: если операторы обрабатывали персональные данные до 1 июля 2011 г., то все необходимые сведения они должны были подать не позднее 1 января 2013 г.

За непредоставление или несвоевременное предоставление уведомления на организацию может быть наложен штраф в размере от 3 тыс. до 5 тыс. руб., а на должностное лицо – от 300 до 500 руб. (ст. 19.7 Кодекса РФ об административных правонарушениях).

Получение, учет и хранение согласия субъекта на обработку персональных данных

Согласно законодательству, обработка специальных категорий персональных данных должна осуществляться с письменного согласия субъекта персональных данных (ст. 6, 9, 10 Закона № 152-ФЗ, ч. 3 ст. 13 Закона № 323-ФЗ).

Состав сведений, указываемых в согласии пациента на обработку его персональных данных, перечислен в ст. 9 Закона № 152-ФЗ:

  1. фамилия, имя, отчество, адрес пациента; реквизиты документа, удостоверяющего его личность;
  2. наименование и адрес оператора, получающего согласие;
  3. цель обработки персональных данных;
  4. перечень персональных данных, на обработку которых дается согласие пациента;
  5. наименование и адрес лица, осуществляющего обработку персональных данных по поручению оператора;
  6. перечень действий с персональными данными, описание способов обработки;
  7. срок, в течение которого действует согласие, способ его отзыва;
  8. подпись пациента.

Как уже было указано выше, письменное согласие работника медучреждения на обработку его персональных данных не требуется. Также нет необходимости в его оформлении при передаче информации в федеральный регистр медицинских и фармацевтических работников, поскольку это предусмотрено ст. 92 и 93 Закона № 323-ФЗ.

Необходимость оформления письменного согласия работника возникает, если в работе медицинской организации используется фотография работника (биометрические персональные данные), например, размещается на информационном стенде, в сети Интернет, на сайте учреждения (ст. 11 Закона № 152-ФЗ).

Что касается пациента, то его согласие на обработку персональных данных не требуется в следующих случаях:

  • врачебная помощь оказывается по программе обязательного медицинского страхования (ОМС), и личные данные передаются только в территориальный фонд ОМС и страховую организацию (ст. 38, 39, 43, 44 и 48 Федерального закона от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании»);
  • сведения о состоянии здоровья пациента передаются третьим лицам (ч. 4 ст. 13 Закона № 323-ФЗ):
    • если пациент в результате своего состояния не способен выразить свою волю, но ему необходимо лечение;
    • при угрозе распространения инфекционных заболеваний, массовых отравлений;
    • по запросу органов дознания и следствия, суда, органа уголовно-исполнительной системы;
    • в случае оказания медпомощи несовершеннолетнему;
    • в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются основания полагать, что вред его здоровью причинен в результате противоправных действий;
    • в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов; – в целях расследования несчастного случая на производстве и профессионального заболевания; – при обмене информацией медорганизациями, в т. ч. размещенной в информационных системах, в целях оказания врачебной помощи;
    • в целях осуществления учета и контроля в системе обязательного социального страхования;
    • в целях осуществления контроля качества и безопасности медпомощи.

Письменное согласие пациента на передачу (предоставление) его персональных данных, составляющих врачебную тайну, требуется в случаях, когда:

  • врачебная помощь оказывается пациенту на платной основе, вне программы государственных гарантий, и сведения передаются третьим лицам (организациям), не являющимся медорганизациями, например в страховую компанию и (или) страхователю по дополнительному медицинскому страхованию (в случае, если им не является сам пациент или его законный представитель);
  • информация о состоянии здоровья пациента передается лицам, указанным самим пациентом или его законным представителем (ч. 5 ст. 19 Закона № 323-ФЗ); в согласии должны быть указаны фамилия, имя, отчество и контактные данные этих лиц (при этом можно считать, что пациент является представителем этих лиц, в связи с чем их специальное письменное согласие на обработку (хранение) указанных персональных данных в медучреждении не требуется (ч. 1 и 8 ст. 9 Закона № 152-ФЗ);
  • передача персональных данных (документов) пациента осуществляется по открытым каналам связи (сети Интернет, электронной почте), например, при проведении дистанционных (телемедицинских) консультаций;
  • осуществляется трансграничная передача персональных данных пациента, например, при осуществлении телемедицинских консультаций с участием врачей, находящихся в странах, не являющихся сторонами Конвенции Совета Европы по защите физических лиц при автоматизированной обработке персональных данных или не включенных в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, утверждаемый Роскомнадзором (ст. 12 Закона № 152-ФЗ).

В случаях, когда в информационной системе медучреждения хранятся и обрабатываются биометрические данные пациента (данные геометрии контура кисти руки, изображения отпечатка пальца, сосудистого русла, изображение радужной оболочки глаза, изображение (фотография) лица, данные ДНК и др.), на это также необходимо его специальное письменное согласие (ст. 11 Закона № 152-ФЗ).

Открытыте документы медорганизации

Согласно ст. 18.1 Закона № 152-ФЗ оператор (медицинская организация) обязан опубликовать на сайте организации или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.

  • Опубликование сведений о медицинских работниках

Согласно п. 7 ст. 21 и п. 7 ст. 79 Закона № 323-ФЗ при выборе врача и медицинской организации гражданин имеет право на получение информации в доступной для него форме, в т. ч. размещенной в информационно-телекоммуникационной сети Интернет, о медицинской организации, об осуществляемой ею медицинской деятельности и о врачах, об уровне их образования и квалификации.

  • Предоставление возможности для ознакомления с персональными данными пациентов, а также исправления неверных сведений

Согласно ст. 20 Закона № 152-ФЗ, медицинская организация обязана предоставить безвозмездно пациенту возможность ознакомления с его персональными данными. В срок, не превышающий 7 рабочих дней со дня предоставления пациентом сведений, подтверждающих, что личные данные были получены незаконно или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие данные.

Заметим, что основания, порядок и сроки предоставления медицинских документов (их копий) пациенту устанавливаются Минздравом России (ч. 5 ст. 22 Закона № 323-ФЗ). Однако подобный документ в настоящее время пока еще не разработан.



Подписка на статьи

Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

Мероприятия

Мероприятия

Повышаем квалификацию

Посмотреть

Самое выгодное предложение

Самое выгодное предложение

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Живое общение с редакцией

А еще...

Новые документы

Закупки по 44-ФЗ
Квалификация
Платные услуги
Популярное у экономистов медучреждений
Популярное у главных медсестер

Мероприятия





Интервью

Врачей обяжут сообщать о потенциальных донорах

Врачей обяжут сообщать о потенциальных донорах

Алексей ПИНЧУК: журналу «Здравоохранение». Главные темы беседы – изменение правового поля донорства в России


Рассылка




Наши продукты




















© МЦФЭР, 2006 – 2016. Все права защищены.

Портал zdrav.ru - медицинский портал для медицинских работников. Новости и статьи для главных врачей, медицинских сестер, заместителей главного врача, специалистов по качеству медицинской помощи, заведующих КДЛ, медицинских юристов, экономистов ЛПУ, провизоров и руководителей аптек.

Информация на данном сайте предназначена только для медицинских работников. Ознакомьтесь с соглашением об использовании.
Свидетельство о регистрации средства массовой информации Эл № ФС77-38302 от 30.11.2009


  • Мы в соцсетях
Сайт предназначен для медицинских работников!

Чтобы продолжить чтение статей на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
Это займет всего 57 секунд. Для вас будут доступны:

— 9400 статей
— 4000 ответов на вопросы
— 80 видеосеминаров
— множество форм и образцов документов
— бесплатная правовая база
— полезные калькуляторы

Вы также получите подарок — журнал в формате pdf

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Сайт предназначен для медицинских работников!

Чтобы продолжить чтение статей на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
Это займет всего 57 секунд. Для вас будут доступны:

— 9400 статей
— 4000 ответов на вопросы
— 80 видеосеминаров
— множество форм и образцов документов
— бесплатная правовая база
— полезные калькуляторы

Вы также получите подарок — pdf- журнал «Здравоохранение»

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×
Сайт предназначен для медицинских работников!

Чтобы скачать файл на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
Это займет всего 57 секунд. Для вас будут доступны:

— 9400 статей
— 4000 ответов на вопросы
— 80 видеосеминаров
— множество форм и образцов документов
— бесплатная правовая база
— полезные калькуляторы

Вы также получите подарок — pdf- журнал «Здравоохранение»

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×
Сайт предназначен для медицинских работников!

Чтобы скачать файл на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
Это займет всего 57 секунд. Для вас будут доступны:

— 9400 статей
— 4000 ответов на вопросы
— 80 видеосеминаров
— множество форм и образцов документов
— бесплатная правовая база
— полезные калькуляторы

Вы также получите подарок — pdf- журнал «Здравоохранение»

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт
Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×