Персональные данные пациентов: что проверят ФСБ, Росздравнадзор и ФСТЭК

1380

Персональные данные и их защитаЗащита персональных данных своих пациентов – обязанность медучреждения.

Результаты этой работы проверяют такие надзорные органы, как Роскомнадзор и ФСБ.

Расскажем о том, какие вопросы интересуют ведомства перед проверками, как разграничены их полномочия, и какие штрафы могут быть применены к медучреждению.  

Закон о персональных данных

ФЗ 152, принятый в 2006 году, расширил и детализировал права пациентов, как носителей персональных данных, а также установил обязательные требования при работе с ними для медучреждений, в том числе.

В этом законе, в частности, четко прописаны обязанности медучреждения информировать граждан при их обращении, об обработке персональных и конфиденциальных данных.

Другая важная обязанность организаций – получать от своих пациентов официальные разрешения, когда требуется внесение сведений о них к информационные базы оператора.

Постановление Правительства № 687 от 15.09.2008 года накладывает на медорганизации очень много дополнительных обязанностей в этом направлении. В частности, определен порядок работы с личными данными, которые хранятся в медучреждении в документальной форме.

Согласие на обработку персональных данных

Согласие на обработку персональных данных
посмотреть/скачать>>

В частности, речь идет о заполнении бумажных форм, таких как история болезни и медкарта больного.

Обработка персональных данных: требования ФСТЭК

В постановлении № 687 перечислены основные требования к тому, как следует обрабатывать конфиденциальные данные пациентов в медучреждениях.

Читайте бесплатно в системе Экономика ЛПУ:

Как это сделать: хранить данные в отдельных документах или выносить их в отдельные разделы (на поля документа).

  1. Данные пациентов, с которыми работа ведется без применения специальных программ, должны отделяться от иных данных и информации.
  2. В один документ нельзя включать данные о больном, которые имеют разное предназначение в процессе их обработки.
  3. Для разных категорий личных данных должна быть разработана отдельная форма типового документа.

Формирование счетов-фактур и реестров для страховых компаний и территориальных подразделений ФОМС.

Пример: 

Для того, чтобы сформировать счета-фактуры реестра используются те же материальные носители, например, для стационара это карта выбывшего из стационара, для поликлиники это талон амбулаторного посещения, который используется для формирования статистических отчетов.

Так быть не должно, необходимо формировать 2 носителя - один идет в отдел (кабинет) статистики, где по нему формируются статистические отчеты, и другой материальный носитель должен идти в подразделения, которые формируют счета-фактуры реестра.

Требования к стандартным формам медучреждений

  1. Типовые формы для фиксации на них конфиденциальных сведений о пациенте должны содержать в себе сведения:
    • о том, для чего необходим сбор данных;
    • о том, какое медучреждение собирает эти данные;
    • о самом пациенте;
    • об источнике получения данных больного;
    • сроки обработки персональных данных;
    • о списке планируемых операций с личными данными;
    • о способах работы с личными данными.

Многие типовые бланки были разработаны Минздравом до введения в действие ФЗ 152, в связи с чем новые меры безопасности с их применением в полной мере соблюдаться не могут.

В связи с этим, постепенно Минздравом утверждаются новые типовые бланки, которые соответствуют действующему закону.

Организация работы

  1. В любой стандартной форме должно быть предусмотрено поле, в котором пациент может поставить свою подпись, свидетельствующую о том, что он дал свое разрешение на обработку личных данных.
  2. Бланки должны иметь такую структуру, чтобы каждый из пациентов, о котором говорится в документе, имел возможность ознакомиться с информацией о себе, не увидев данные о других пациентах.

Проверки ФСТЭК, ФСБ и Роскомнадзора в медучреждениях

Уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора в этой сфере определена Федеральная служба по надзору в сфере связи и массовых коммуникаций - Роскомнадзор.

Именно в обособленные подразделения ведомства каждое медучреждение направляет уведомление о том, что оно занимается обрабатывает личные данные больных.  

Качество выполнения требований законодателя контролируется ведомствами:

  • Федеральным органом исполнительной власти уполномоченным в области безопасности - это ФСБ России;
  • Федеральным органом исполнительной власти уполномоченным в области противодействия техническим разведкам и технической защиты информации -  это ФСТЭК России;
  • Прокурорские органы Российской Федерации осуществляют общий надзор в этой сфере, реагируя на поступившие обращения граждан.

При этом полномочия ведомств при контрольных мероприятиях в медучреждениях строго разграничены.

У ФСБ России основная задача - это контроль осуществления деятельности в области криптографии. Подразделения ведомства в большей степени обработка персональных данных интересует именно с точки зрения безопасности этого процесса.

Как правило, в медорганизации есть ЭЦП для проведения электронных торгов, и если медорганизация работает по ВМП, есть еще ЭЦП для того, чтобы зайти в реестр пациентов по ВМП.

Полномочия ФСТЭК более обширны, ведомство проверяет:

  • правильность содержания основной локальной документации по защите информации;
  • правильность организации мероприятий по защите информации;
  • правильность применения различных устройств, предназначенных для защиты информации;
  • сами технические устройства для защиты информации (наличие разрешений, поверок оборудования, лицензий на него).

Например, в медучреждении могут проверить наличие письменных согласий пациентов на обработку персональных данных, на их передачу третьим лицам в оговоренных законом случаях.

Важно, что сотрудники ФСБ и ФСТЭК могут прийти, проверять, как организован процесс работы с данными пациентов, читать всю локальную документацию по этому вопросу, проверять наличие письменных согласий и т.д., но они не могут читать истории болезни или медицинские карты, в которых непосредственно персональные данные содержатся.

Это нарушает другие охраняемые законом сведения – врачебную тайну.

Обязанности медучреждения как оператора персональных данных

  1. Медучреждение для реализации мер защиты информации о пациентах должно  обследовать свои информационные базы, составить соответствующий акт, в котором будет отражена информация об их состоянии.

Далее, используемые базы должны быть классифицированы в зависимости от того, какой объем данных о пациентах они содержат, какие угрозы из безопасности присутствуют.

Кроме того, медучреждения присваивает всем данным класс безопасности.

  1. Для работы с личными данными пациентов классов К1-К3 необходима лицензия ФСТЭК на техническую защиту информации.
  2. Медучреждение должно получить статус оператора персональных данных.
  3. Организовать получение и хранение письменных согласий пациентов на процедуры, связанные с использованием их личных данных.
  4. Организовать процедуру информирования больных об обработке их данных при поступлении соответствующих запросов.
  5. Сформировать систему обеспечения безопасности данных в соответствии с присвоенным классом.
  6. Провести анализ и оценку своих информационных баз.
  7. Оператор должен организовать обучение персонала и предусмотреть выделение соответствующих средств на приобретение необходимых систем защиты личной информации.

Что такое классы К1, К2, К3, К4

Базы данных информационных систем

Если данные собираются для разных целей, то должны быть и разные базы данных в информационных системах персональных данных.

Обработка персональных данных: штрафы

Ответственность за нарушения правил работы с персональными данными устанавливает ст. 13.11 КОАП РФ.

С 1 июля 2017 года выросли штрафы за нарушение правил работы с персональными данными. Например, за незаконный сбор, хранение, использование и распространение персональных данных штраф составляет 75000 руб.

В таблице приведен подробный перечень правонарушений, а также административных штрафов, которые применяются за их совершение.

Административные штрафы

Аудиограмма вебинара " Как экономистам медорганизации работать с персональными данными"

Посмотреть предстоящие вебинары >>

Читайте в ближайших номерах журнала «Экономика ЛПУ в вопросах и ответах»
    Читать >>


    Ваша персональная подборка

      Подписка на статьи

      Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

      Рекомендации по теме

      Мероприятия

      Мероприятия

      Повышаем квалификацию

      Посмотреть

      Самое выгодное предложение

      Самое выгодное предложение

      Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

      Живое общение с редакцией

      А еще...


      Мероприятия








      Наши продукты






















      © МЦФЭР, 2006 – 2017. Все права защищены.

      Портал zdrav.ru - медицинский портал для медицинских работников. Новости и статьи для главных врачей, медицинских сестер, заместителей главного врача, специалистов по качеству медицинской помощи, заведующих КДЛ, медицинских юристов, экономистов ЛПУ, провизоров и руководителей аптек.

      Информация на данном сайте предназначена только для медицинских работников. Ознакомьтесь с соглашением об использовании.
      Свидетельство о регистрации средства массовой информации ПИ № ФС77-64203 от 31.12.2015.

      Политика обработки персональных данных

      
      • Мы в соцсетях
      Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Посещая страницы сайта и предоставляя свои данные, вы позволяете нам предоставлять их сторонним партнерам.Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.
      Сайт предназначен для медицинских работников!

      Чтобы продолжить чтение статей на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
      Это займет всего 57 секунд. Для вас будут доступны:

      — 9400 статей
      — 4000 ответов на вопросы
      — 80 видеосеминаров
      — множество форм и образцов документов
      — бесплатная правовая база
      — полезные калькуляторы

      Вы также получите подарок — журнал в формате pdf

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      И получить доступ на сайт Займет минуту!
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль
      Сайт предназначен для медицинских работников!

      Чтобы продолжить чтение статей на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
      Это займет всего 57 секунд. Для вас будут доступны:

      — 9400 статей
      — 4000 ответов на вопросы
      — 80 видеосеминаров
      — множество форм и образцов документов
      — бесплатная правовая база
      — полезные калькуляторы

      Вы также получите подарок — pdf- журнал «Здравоохранение»

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      И получить доступ на сайт Займет минуту!
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль
      ×
      Сайт предназначен для медицинских работников!

      Чтобы скачать файл на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
      Это займет всего 57 секунд. Для вас будут доступны:

      — 9400 статей
      — 4000 ответов на вопросы
      — 80 видеосеминаров
      — множество форм и образцов документов
      — бесплатная правовая база
      — полезные калькуляторы

      Вы также получите подарок — pdf- журнал «Здравоохранение»

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      И получить доступ на сайт Займет минуту!
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль
      ×
      Сайт предназначен для медицинских работников!

      Чтобы скачать файл на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
      Это займет всего 57 секунд. Для вас будут доступны:

      — 9400 статей
      — 4000 ответов на вопросы
      — 80 видеосеминаров
      — множество форм и образцов документов
      — бесплатная правовая база
      — полезные калькуляторы

      Вы также получите подарок — pdf- журнал «Здравоохранение»

      У меня есть пароль
      напомнить
      Пароль отправлен на почту
      Ввести
      Я тут впервые
      И получить доступ на сайт Займет минуту!
      Введите эл. почту или логин
      Неверный логин или пароль
      Неверный пароль
      Введите пароль
      ×