text
Портал для медицинских работников

Защита персонанных данных в медицинской организации: регламент обработки

  • 28 февраля 2018
  • 352

Закон о персональных данныхС прошлого года выросли штрафы за нарушение правил работы с персональными данными. Например, за незаконный сбор, хранение, использование и распространение персональных данных.

До этого максимальный штраф для медорганизации за такие нарушения был 10 000 руб. С 1 июля стал 75 000 руб. О том, как правильно работать с персональными данными и избежать штрафов, – читайте в рекомендации.

Внимание! Для скачивания доступны новые образцы:  План ФХД, Положение о платных услугах, Уведомление о привлечении к сверхурочной работе

За какие нарушения медорганизацию оштрафуют

Теперь Роскомнадзор получит право возбуждать дела об административном правонарушении. Раньше ведомство передавало материалы проверок в прокуратуру

Теперь оснований для санкций станет больше. В новом перечне законодатели прописали шесть нарушений. Размер штрафа зависит от вида нарушения. Чтобы было легче сориентироваться в изменениях, мы подготовили таблицу со штрафами и комментариями для медорганизаций.

Новые штрафы за нарушения в работе с персональными данными

Новые штрафы за нарушения в работе с персональными данными
посмотреть/скачать>>

Что нужно срочно разместить на сайте медорганизации

С 1 июля 2017 года медорганизации разрабатывают и публикуют на сайте политику обработки и защиты персональных данных (далее – Политика).

Гость, вам предоставлен VIP-доступ к журналу «Экономика ЛПУ в вопросах и ответах».
Активировать доступ


Если этого не сделать, проверяющие оштрафуют учреждение на 30 000 руб. Чтобы облегчить процесс разработки Политики, мы подготовили удобный шаблон, который можно использовать в работе.

Политика обработки и защиты персональных данных медицинской организации

Общие положения

  • Обработка персональных1.1. Настоящая политика в отношении обработки персональных данных (далее – Политика) составлена в соответствии с п. 2 ст. 18.1 Закона от 27.07.2006 № 152-ФЗ «О персональных данных» и является основополагающим внутренним регулятивным документом медицинской организации, (далее – Организация или Оператор), определяющим ключевые направления ее деятельности в области обработки и защиты персональных данных (далее – ПДн), оператором которых является Организация.
  • 1.2. Политика разработана в целях реализации требований законодательства в области обработки и защиты ПДн и направлена на обеспечение защиты прав и свобод человека и гражданина при обработке его ПДн в Организации, в том числе защиты прав на неприкосновенность частной жизни, личной, семейной и врачебной тайн.
  • 1.3. Положения Политики распространяются на отношения по обработке и защите ПДн, полученных Организацией как до, так и после утверждения Политики, за исключением случаев, когда по причинам правового, организационного и иного характера положения Политики не могут быть распространены на отношения по обработке и защите ПДн, полученных до ее утверждения.

Какие требования к медорганизации

Важно

К 1 января 2011 года все информационные системы персональных данных уже нужно было привести в соответствие с требованиями Закона № 152 (Закон от 27.12.2009 № 363-ФЗ)

Особого внимания заслуживают требования, которые предъявляют к медорганизации в данном случае:

  1. Персональные данные при их обработке, которую проводят без использования средств автоматизации, должны быть обособлены от иной информации. В частности, зафиксируйте их на отдельных материальных носителях персональных данных (далее – материальные носители), в специальных разделах или на полях форм (бланков).
  2. Когда фиксируете персональные данные на материальных носителях, не делайте это на одном носителе, если цели их обработки заведомо несовместимы. То есть, чтобы обработать различные категории персональных данных, для каждой категории используйте отдельный материальный носитель.

В медицинских же организациях в настоящее время сплошь и рядом эти требования не выполняют.

Данные из талона амбулаторного пациента и карты выбывшего из стационара используют как минимум в двух разных целях: для формирования статистических отчетов медицинской организации и для реестров и счетов-фактур по ОМС.

Ответственность за нарушение закона

Ответственность за нарушение закона
посмотреть/скачать>>

При этом, как правило, в медорганизации есть лишь один материальный носитель: талон амбулаторного пациента, или карта выбывшего из стационара. Редко кто ведет два разных материальных носителя и хранит их раздельно. Вместе с тем именно этого требуют нормативные документы.

Кроме того, постановление № 687 требует, чтобы, когда медорганизация использует типовые формы документов, в которых возможно включение персональных данных (далее – типовая форма), она соблюдала следующие условия:

  • типовая форма или документы, которые с ней связаны (инструкция по ее заполнению, карточки, реестры и журналы), должны содержать сведения о цели обработки персональных данных, имя (наименование) и адрес оператора, фамилию, имя, отчество и адрес субъекта персональных данных, источник персональных данных, сроки обработки, перечень действий с персональными данными, которые будут совершать в процессе их обработки, общее описание способов обработки;
  • типовая форма должна предусматривать поле, в котором субъект персональных данных может поставить отметку о своем согласии на обработку;
  • типовая форма должна быть составлена таким образом, чтобы каждый из субъектов персональных данных мог ознакомиться с ними и при этом не нарушить прав и законных интересов иных субъектов.

Проблема состоит в том, что далеко не все формы, которые утвердил Минздрав России, соответствуют этим требованиям. Кроме того, постановление № 687 требует, чтобы медорганизации:

  1. Обрабатывали персональные данные так, чтобы в отношении каждой категории персональных данных можно было определить места их хранения и установить перечень лиц, которые обрабатывают персональные данные либо имеют к ним доступ.
  2. Раздельно хранили персональные данные (материальные носители), которые обрабатывают в разных целях.

Важно

Предупреждать за три дня о такой проверке, как при обычной внеплановой, инспекторы не обязаны

Кто контролирует защиту персональных данных

Федеральная служба по надзору в сфере связи и массовых коммуникаций (Роскомнадзор) защищает права субъектов персональных данных, обеспечивает контроль и надзор за соответствием обработки персональных данных требованиям Закона (постановление Правительства РФ от 16.03.2009 № 228).

Роскомнадзор рассматривает обращения субъектов персональных данных о правомочности и соответствии целей, содержания и способов обработки персональных данных. Также принимает соответствующие решения.

Контроль и надзор за требованиями по безопасности персональных данных осуществляют ФСБ России и ФСТЭК России в пределах их полномочий. Обращаем внимание, что эти органы не имеют права ознакомления с персональными данными, которые обрабатывают в информационных системах (ч. 3 ст. 19 Закона № 152-ФЗ).

Общий надзор за защитой прав и свобод граждан при обработке их персональных данных осуществляют также органы прокуратуры Российской Федерации.

Необходимо отметить, что в нашей стране уже есть опыт привлечения к уголовной ответственности административных сотрудников медорганизаций.

Согласие пациента на обработку персональных данных

Согласие пациента на обработку персональных данных
посмотреть/скачать>>

Как работать с персональными данными пациентов

Как работать с даннымиМедорганизация обязана защищать персональные данные пациентов (потребителей). Такие данные есть в историях болезни пациентов, их личных делах, договорах на платные медуслуги и т. д.


Мы подготовили несколько советов, которые помогут избежать нарушений в этом вопросе.

  1. Не собирайте и не обрабатывайте лишние сведения, чтобы не подвергать учреждение риску. Например, многие медорганизации проводят опрос потребителей об удовлетворенности платными услугами с помощью анкет.

Рекомендуем сделать такую анкету обезличенной. Не просите потребителей указывать свои Ф. И. О. и контактные данные. Эта информация не поможет повысить качество услуг, но ее сбор и обработка подпадают под ограничения законодательства о персональных данных.

  1. Медорганизация вправе самостоятельно проводить мероприятия, чтобы защитить персональные данные. Но лучше обратиться за помощью в организацию с лицензией на техническую защиту конфиденциальной информации (ТЗКИ). Такие компании специализируются на защите персональных данных.
  2. Проверяйте содержание материалов, которые выкладываете в Интернет. Например, на сайтах многих медорганизаций есть фотографии пациентов до и после процедур. Прежде чем разместить фото, не забудьте получить согласие.
  3. Также, помимо Политики, рекомендуем разместить на сайте медорганизации форму согласия пациента на обработку персональных данных.

Перечень сведений, которые нужно включить в согласие, содержит ч. 4 ст. 9 Закона от 27.07.2006 № 152-ФЗ.

Подписка на статьи

Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

Рекомендации по теме

Мероприятия

Мероприятия

Повышаем квалификацию

Посмотреть

Самое выгодное предложение

Самое выгодное предложение

Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

Мы в соцсетях
А еще:
Сайт предназначен для медицинских работников!


Чтобы подтвердить ваш статус, зарегистрируйтесь, и:

Читайте экспертные
материалы

Скачивайте готовые
формы и СОПы

Смотрите
бесплатные вебинары

13 000 статей

1 500 инструкций

200 записей

Абонемент в электронную медицинскую библиотеку в подарок!

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
Сайт предназначен для медицинских работников!


Чтобы скачать файл на портале ZDRAV.RU, зарегистрируйтесь, и:

Читайте экспертные
материалы

Скачивайте готовые
формы и СОПы

Смотрите
бесплатные вебинары

13 000 статей

1 500 инструкций

200 записей

Абонемент в электронную медицинскую библиотеку в подарок!

У меня есть пароль
напомнить
Пароль отправлен на почту
Ввести
Я тут впервые
И получить доступ на сайт Займет минуту!
Введите эл. почту или логин
Неверный логин или пароль
Неверный пароль
Введите пароль
×

×

Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Посещая страницы сайта и предоставляя свои данные, вы позволяете нам предоставлять их сторонним партнерам. Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.