Защита персональных данных в медицинской организации пошаговая инструкция

Руководитель отдела продаж компании «Нетрика Интеграция» Руслан Харлашин рассказывает, как обеспечивается безопасность персональных данных в частных и государственных медицинских учреждениях и каким образом этот вопрос регулируется в нашей стране.

Руслан Харлашин

Что говорит закон?

Законодательство строго закрепляет статус персональных данных (ПД). Их определение сформулировано в Федеральном законе № 149 от 27.07.2006 «Об информации, информационных технологиях и о защите информации», где они представлены как «информация ограниченного доступа». В ФЗ уточнено, что конфиденциальность персональных данных – это обязательное условие работы с ними, и поэтому государство устанавливает обязательные нормы и правила их обработки.

Вопросу взаимодействия с персональными данными даже посвящен отдельный нормативно-правовой акт. Ключевым документом здесь выступает ФЗ № 152 от 27.07.2006 «О персональных данных». Закон содержит основные определения и требования, которые касаются обработки персональных данных – в частности требует обеспечить защиту прав и свобод человека. Также ФЗ строго регламентирует этот процесс: например, в нем указано, что операторы обработки персональных данных должны обеспечить определенные уровни защищенности, установленные Постановлением Правительства РФ № 1119 от 01.11.2012. Под этими уровнями понимается набор требований, который нейтрализует определенные угрозы безопасности.

При этом в постановлении № 1119 предложен только сжатый перечень мер защиты. Более детально их определяет ФСТЭК России: приказ № 21 от 18.02.2013 утверждает состав и содержание организационных и технических мер по обеспечению безопасности персональных данных, а приказ № 17 от 11.02.2013 регламентирует требования по защите информации в ГИС (государственных информационных системах), включая и персональные данные.

ФСБ России выпустила приказ № 378 от 10.07.2014, в котором описаны меры обеспечения безопасности персональных данных при использовании средств криптографической защиты информации.

Освежил законодательство в области персональных данных и Минздрав, выпустив Приказ № 911н от 24.12.2018 «Об утверждении Требований к государственным информационным системам в сфере здравоохранения субъектов Российской Федерации, медицинским информационным системам медицинских организаций и информационным системам фармацевтических организаций».

Особенности работы с персональными данными в медицине

Работа с медицинскими ПД отличается рядом особенностей. Клиники обязаны хранить данные о здоровье каждого пациента в виде медкарты, и разглашать их запрещено при любых условиях. Поэтому здесь остро встает проблема возможных утечек информации.

Именно здравоохранение лидирует в антирейтинге утечек данных. По результатам исследования «СёрчИнформ», с проблемой столкнулись почти две трети медучреждений – и около 50% из них стараются не раскрывать факт инцидента. При этом личную информацию потеряли 42% организаций.

Необходимый уровень защиты ПД важно обеспечивать на каждом этапе их обработки, что оказывается непростой задачей в процессе сбора и записи сведений, их систематизации и хранения в базе, уточнения деталей и, наконец, уничтожения информации, потерявшей актуальность.

В медучреждениях могут обрабатываться персональные данные двух типов. Первый – это простые данные: скажем, ФИО; информация о дате и месте рождения; антропологические показатели (рост и вес), фотографии человека; место жительства и контактные данные, в том числе номер телефона и адрес электронной почты.

Второй тип – персональные данные специальной категории. К этой группе относятся сведения о состоянии здоровья пациента, информация о причинах обращения за медицинской помощью, диагноз и особенности лечения. Именно эти специальные сведения и объединяются под широко известным термином «врачебная тайна», сохранность которой регулируется Федеральным законом № 323 от 21.11.2011 «Об основах охраны здоровья граждан в Российской Федерации».

Скрытая угроза

Поликлиники и больницы ежедневно обрабатывают огромный объем данных пациентов, и доступ к ним должны иметь только определенные сотрудники медорганизации. При этом во многих государственных ЛПУ до сих пор не завершен переход на электронный документооборот и автоматизированный учет. Из-за этого на плечах врачей, медсестер, администраторов лежит более высокая нагрузка: им приходится вручную заполнять направления, искать бумаги с результатами лабораторных исследований. Данные, представленные в бумажном виде, легче потерять; кроме того, высокая загруженность повышает риск ошибок из-за невнимательности или спешки.

Но и с ростом уровня цифровизации риски утечек ПД не исчезают. Например, в медучреждениях, где уже установлены МИС или СЭД, данные могут пропадать из-за технических сбоев.

Также нельзя забывать о еще одной распространенной проблеме – человеческом факторе. Иногда сотрудники, которые отвечают за безопасность данных в информационных системах, не обладают нужными компетенциями или демонстрируют безответственное отношение к вопросу. Но чаще всего проблемы возникают по вине «рядовых» специалистов: согласно исследованию Infowatch, на долю сотрудников приходится более половины потерь данных – и около 80% из них возникают без злого умысла, из-за ошибок и халатности.

Зачастую проблемы возникают из-за отсутствия налаженного взаимодействия между медучреждениями и разработчиками. Поставщики могут предлагать информационные системы и программное обеспечение, предполагая, что клиника самостоятельно позаботится о защите данных, а у организации на этот счет может быть другое мнение. В результате злоумышленникам даже не приходится ничего взламывать: конфиденциальная информация хранится в открытом доступе. По этой причине произошла одна из крупнейших утечек медицинских персональных данных, в результате которой из-за использования устаревших серверов в сеть попали КТ- и МРТ-снимки 24 млн человек из 590 архивов. По данным Infowatch, почти 20% медицинских данных «утекает» не в результате внешнего воздействия.

Груз ответственности

Последствия таких утечек могут оказаться очень серьезными для клиники и ответственных за инцидент сотрудников. Нарушения безопасности могут привести к административной, гражданско-правовой, дисциплинарной или даже уголовной ответственности. Если из-за утечки произойдет разглашение врачебной тайны, клинике придется возмещать ущерб, нанесенный пациенту и его деловой репутации, а также оплачивать все расходы, понесенные из-за раскрытия сведений, и штраф. Сотрудника же будет ждать выговор или увольнение, а в самых серьезных случаях он может получить запрет на продолжение профессиональной деятельности до пяти лет или даже лишиться свободы на срок до четырех лет.

Разумеется, ответственность несут и злоумышленники: как хакеры, так и сотрудники клиник, копирующие и распространяющие информацию о пациентах. Незаконный сбор и распространение сведений о частной жизни, составляющих личную и семейную тайну, могут наказываться штрафом до 200 тыс. руб. или лишением свободы на срок до двух лет (четырех – если будет доказано, что для этого использовалось служебное положение).

Ответственность придется понести не только за прямые нарушения безопасности, но и за невозможность предоставить данные, в том числе и из-за неисправности информационных систем. Например, если оператор не предоставляет пациенту информацию, которая касается его персональных данных, он может получить штраф до 40 тыс. руб.

Пять уровней безопасности

Чтобы обезопасить личные данные пациентов, а вместе с тем себя и своих специалистов, медучреждениям необходимо построить прочную систему защиты. Первым этапом здесь становится моделирование угроз, которые рассматриваются применительно к действующей информационной системе обработки персональных данных (ИСПД) – как правило, это МИС.

Затем, в соответствии с приказом ФСТЭК России № 21, нужно определить состав и содержание организационных и технических мер, которые позволят обеспечить безопасность данных. Они должны работать на всех уровнях информационной системы: МИС, автоматизированных рабочих мест, каналов передачи данных, СУБД, виртуальной инфраструктуры.

На уровне МИС могут применяться встроенные механизмы безопасности и различные дополнительные средства защиты от несанкционированного доступа, например, антивирусные комплексы, системы предотвращения вторжений, межсетевые экраны и системы предотвращения утечек данных.

Широкий список инструментов применяется и на уровне автоматизированных рабочих мест. Для защиты используются сертифицированные операционные системы, а также антивирусы, системы для предотвращения вторжений и межсетевые экраны.

Недавно появились новые решения – автоматизированные рабочие места, в которые встроен сертифицированный модуль доверенной загрузки (МДЗ). Они помогают защищать средства вычислительной техники от несанкционированного доступа, а также контролируют целостность программной и аппаратной конфигурации устройств, на которых установлен этот модуль – еще до начала загрузки его операционной системы. Один из примеров – инструмент Numa Arce (ИТ.СДЗ.УБ4.ПЗ), реализованный в виде EFI-модуля, который работает на уровне BIOS материнской платы.

На уровне каналов передачи данных, помимо уже упомянутых инструментов, могут использоваться криптографические шлюзы. На рынке такие продукты представлены как в виде программно-аппаратных комплексов, так и в программном исполнении. Для СУБД используются специальные системы защиты. А что касается виртуальной инфраструктуры, то здесь безопасность могут обеспечивать даже доверенные защищенные гипервизоры.

Пошаговая инструкция

В общем виде проект по построению системы защиты персональных данных состоит из нескольких этапов.

• Сбор данных о существующих информационных системах персональных данных (ИСПД).
• Моделирование угроз безопасности.
• Определение уровней защищенности.
• Разработка технического задания.
• Проектирование система защиты персональных данных (СЗПД).
• Разработка организационно-распорядительной документации, регламентирующей процессы обработки и защиты персональных данных.
• Поставка средств защиты информации, их установка и настройка.
• Аттестация информационных систем персональных данных по требованиям безопасности информации (опционально).

Ошибки могут возникать на любом из указанных этапов. Например, если организация неверно определит угрозы, появляется риск утечек ПД. А если специалисты медучреждения посчитают, что информационной системе требуется более высокий уровень защищенности, чем нужен на самом деле, придется применять избыточные меры и устанавливать лишние средства защиты. Это может привести к многократному росту стоимости внедрения и обслуживания системы.

Главная → Статьи → Персональные данные пациентов в медицинских организациях: требования к обработке и ответственность

Персональные данные пациентов в медицинских организациях: требования к обработке и ответственность

Медицинские организации в силу законодательства являются операторами персональных данных своих пациентов. Они принимают непосредственное участие в сборе, систематизации, накоплении, хранении, уточнении, обновлении, изменении, распространении и уничтожении такой информации. Разберемся, какие требования предъявляет законодательство к медицинской организации в качестве оператора персональных данных и какие виды ответственности предусмотрены за их нарушение.

Персональные данные представляют собой любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ)).

Медицинская организация, получая персональные данные от пациента (субъекта персональных данных), например, при его первоначальном поступлении или заключении договора на оказание медицинских услуг, а также в процессе лечения, приобретает статус оператора. У нее возникают определенные обязанности в части работы с полученными персональными данными.

Данные обязанности регулируются следующими нормативными актами:
– Конституция РФ;
– КоАП РФ, УК РФ, ГПК РФ;
– упомянутый выше Закон № 152-ФЗ;
– Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
– Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ» (далее — Закон № 323-ФЗ);
– другие положения и нормативно-правовые акты.

Важно!
Оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (ст. 3 Закона № 152-ФЗ).

Персональные данные пациента и врачебная тайна

Сразу отметим, что информация о состоянии здоровья пациента относится к специальным категориям персональных данных, обработка которых не допускается, за исключением случаев, когда (ст. 10 Закона № 152-ФЗ):
– пациент дал согласие в письменной форме на обработку своих персональных данных;
– пациент сам сделал персональные данные общедоступными;
– обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов пациента либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия пациента невозможно;
– обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну.

Информация, являющаяся врачебной тайной, — это отдельный подвид персональных данных. Она представляет собой сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья, диагнозе и иные сведения, полученные при его медицинском обследовании и лечении (п. 1 ст. 13 Закона № 323-ФЗ). Ее разглашение не допускается (п. 2 ст. 13 Закона № 323-ФЗ), за исключением отдельных случаев, о которых мы расскажем ниже.

Обработка персональных данных

Обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение (ст. 3 Закона № 152-ФЗ).

Как было сказано выше, перед получением от пациента информации медицинская организация должна запросить у него согласие на обработку персональных данных (ст. 6, ст. 10 Закона № 152-ФЗ).

Пациент вправе полностью или частично отказаться от предоставления согласия на обработку персональных данных. Поэтому медицинской организации следует правильно подходить к виду и объему запрашиваемой информации. В обработку нужно запрашивать только те сведения, которые отвечают ее целям. Сведения не должны быть избыточными (ст. 5 Закона № 152-ФЗ).

При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе следующую информацию:
– подтверждение факта обработки персональных данных;
– правовые основания и цели обработки;
– цели и применяемые способы обработки;
– наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании положений законодательства;
– обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен положениями законодательства;
– сроки обработки персональных данных, в том числе сроки их хранения;
– порядок осуществления субъектом персональных данных прав, предусмотренных Законом № 152-ФЗ;
– информацию об осуществленной или о предполагаемой трансграничной передаче персональных данных;
– наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
– иные сведения, предусмотренные Законом № 152-ФЗ или другими федеральными законами.

Согласие на обработку персональных данных может быть получено в электронной либо в письменной форме.

При этом согласие на обработку биометрических данных необходимо получить от пациента именно в письменной форме (ст. 11 Закона № 152-ФЗ), так как они представляют собой сведения, которые характеризуют физиологические и биологические особенности на основании которых можно установить личность.

Бумажный документ должен содержать следующие реквизиты (п. 4 ст. 9 Закона № 152-ФЗ):
– фамилию, имя, отчество, адрес пациента, номер основного документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе;
– Ф.И.О., адрес представителя пациента, номер основного документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя пациента (при получении согласия от него);
– наименование медицинской организации;
– цель обработки персональных данных;
– перечень персональных данных, на обработку которых пациент дает согласие;
– наименование или Ф.И.О. и адрес лица, осуществляющего обработку персональных данных по поручению медицинской организации, если обработка будет поручена такому лицу;
– перечень действий с персональными данными, на совершение которых дается согласие, и общее описание используемых способов обработки персональных данных;
– срок, в течение которого действует согласие пациента, а также способ отзыва такого согласия, если иное не установлено законодательством;
– подпись пациента.

Также обратите внимание, что при заключении договора с пациентом медицинская организация обязана предоставить ему информацию о номере своей лицензии, сроке ее действия и выдавшем ее органе. Такую информацию можно включить непосредственно в договор либо прописать в нем ссылку на источник откуда можно получить информацию.

При заключении договора на сложные и дорогостоящие услуги пациенту следует предложить под роспись ознакомиться с описанием этих услуг, способами их оказания, возможными последствиями и т. д.

От пациента обязательно потребуется получить информированное добровольное согласие на медицинское вмешательство (на анестезиологическое обеспечение медицинского вмешательства, на оперативное вмешательство, в том числе переливание крови и ее компонентов, и т. д.). Его следует оформить в письменном виде – записью в истории болезни, заверенной подписью самого пациента (его законного представителя) либо его отдельной распиской или заявлением. С 1 января 2018 года согласие также можно оформить в виде электронного документа, подписанного усиленной квалифицированной или простой электронной подписью пациента (его законного представителя) и электронной подписью медицинского работника.

Если состояние пациента не позволяет ему выразить свою волю, а медицинское вмешательство неотложно, вопрос о его проведении решают консилиум или лечащий врач.

Медицинское вмешательство без информированного добровольного согласия также возможно в отношении пациентов:
– страдающих заболеваниями, представляющими опасность для окружающих;
– страдающих тяжелыми психическими расстройствами;
– совершивших общественно опасные деяния (преступления);
– направленных на судебно-медицинскую и (или) судебно-психиатрическую экспертизы.

Предоставление персональных пациента данных третьим лицам

Законодательство запрещает предоставлять третьим лицам и распространять персональные данные без согласия пациента (ст. 7 Закона № 152-ФЗ).

Под предоставлением в данном случае понимаются действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц, а под распространением — действия, направленные на раскрытие персональных данных неопределенному кругу лиц (ст. 2 Закона № 152-ФЗ).

Вместе с тем, Закон № 323-ФЗ допускает разглашение сведений, составляющих врачебную тайну, с письменного согласия пациента или его законного представителя другим гражданам, в том числе должностным лицам, в целях медицинского обследования и лечения пациента, проведения научных исследований, их опубликования в научных изданиях, использования в учебном процессе и в иных целях (п. 2 ст. 13 Закона № 323-ФЗ).

Кроме того, предоставление сведений, составляющих врачебную тайну, без согласия пациента или его законного представителя возможно (п. 3 ст. 13 Закона № 323-ФЗ):
– в целях проведения медицинского обследования и лечения пациента, который в результате своего состояния не способен выразить свою волю;
– при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
– по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органов прокуратуры в связи с осуществлением прокурорского надзора, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля;
– в целях осуществления уполномоченными федеральными органами исполнительной власти контроля за исполнением лицами, признанными больными наркоманией либо потребляющими наркотические средства или психотропные вещества без назначения врача либо новые потенциально опасные психоактивные вещества, возложенной на них при назначении административного наказания судом обязанности пройти лечение от наркомании, диагностику, профилактические мероприятия и (или) медицинскую реабилитацию;
– в случае оказания медицинской помощи несовершеннолетнему для информирования одного из его родителей или иного законного представителя;
– в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий;
– в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов, кадровых служб и военно-врачебных (врачебно-летных) комиссий;
– при обмене информацией между медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства РФ о персональных данных;
– в целях осуществления учета и контроля в системе обязательного социального страхования.

Предоставление персональных данных пациенту или его законному представителю

Медицинская организация обязана сообщить пациенту или его законному представителю информацию о наличии персональных данных и предоставить возможность для ознакомления с ними в течение 30 дней с даты получения соответствующего запроса от пациента или его представителя (ст. 14, ст. 20 Закона № 152-ФЗ).
Согласно Закону № 323-ФЗ пациент или его законный представитель имеют право на основании письменного заявления получать отражающие состояние здоровья медицинские документы, их копии и выписки из медицинских документов (п. 5 ст. 22 Закона № 323-ФЗ) в порядке утвержденном приказом Минздравсоцразвития РФ от 02.05.2012 № 441н, а также непосредственно знакомиться с медицинской документацией, отражающей состояние здоровья в порядке, утвержденном приказом Министерства здравоохранения РФ от 29.06.2016 № 425н.

Ответственность за нарушение правил работы с персональными данными

Административная ответственность за нарушения в области защиты персональных данных установлена статьей 13.11 КоАП РФ. Перечислим за что могут оштрафовать медицинскую организацию.

Обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработка персональных данных, несовместимая с целями их сбора влечет предупреждение или наложение штрафа:
– на граждан в размере от 1000 до 3000 рублей;
– на должностных лиц – от 5000 до 10 000 рублей;
– на юридических лиц – от 30 000 до 50 000 рублей.

Обработка персональных данных без согласия в письменной форме в случаях, когда оно должно быть получено в соответствии с законодательством РФ в области персональных данных (если эти действия не содержат уголовно наказуемого деяния), либо обработка персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме влечет:
– наложение административного штрафа на граждан в размере от 3000 до 5000 рублей;
– на должностных лиц – от 10 000 до 20 000 рублей;
– на юридических лиц – от 15 000 до 75 000 рублей.

Невыполнение предусмотренной законодательством РФ в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся их обработки, влечет предупреждение или наложение штрафа:
– на граждан в размере от 1000 до 2000 рублей;
– на должностных лиц – от 4000 до 6000 рублей;
– на юридических лиц – от 20 000 до 40 000 рублей.

Несоблюдение сроков выполнения требований по защите прав субъектов персональных данных об их уточнении, блокировании или уничтожении, когда данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, влечет предупреждение или наложение административного штрафа:
– на граждан в размере от 1000 до 2000 рублей;
– на должностных лиц – от 4000 до 10 000 рублей;
– на юридических лиц – от 25 000 до 45 000 рублей.

Невыполнение требований по сохранности персональных данных при их обработке без использования средств автоматизации, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении данных, при отсутствии признаков уголовно наказуемого деяния влечет наложение штрафа:
– на граждан в размере от 700 до 2000 рублей;
– на должностных лиц – от 4000 до 10 000 рублей;
– на юридических лиц – от 25 000 до 50 000 рублей.

Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методов влечет предупреждение или наложение штрафа на должностных лиц в размере от 3000 до 6000 рублей.

Уголовная ответственность предусмотрена за следующие правонарушения.

Незаконное собирание или распространение с использованием служебного положения сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ может повлечь (ст. 137 УК РФ):
– штраф в размере от 100 000 до 300 000 рублей;
– лишение права занимать определенные должности на срок от двух до пяти лет;
– принудительные работы на срок до четырех лет (с лишением права занимать определенные должности на срок до пяти лет или без такового);
– арест на срок до шести месяцев;
– лишение свободы на срок до четырех лет (с лишением права занимать определенные должности на срок до пяти лет).

За неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы пациента, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам пациента медицинской организации грозит (ст. 140 УК РФ):
– штраф до 200 000 рублей;
– лишение права занимать определенные должности на срок от двух до пяти лет.

Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копирование предусматривает:
– штраф до 200 000 рублей;
– исправительные работы на срок до одного года;
– ограничение свободы на срок до двух лет;
– принудительные работы на срок до двух лет;
– лишение свободы на тот же срок.

Кроме того, медицинскую организацию могут привлечь к гражданско-правовой ответственности за причинение пациенту морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данных (ст. 24 Закона № 152-ФЗ; ст. 151 ГК РФ). Ответственность предусматривает компенсацию морального вреда (независимо от возмещения имущественного вреда и понесенных субъектом убытков).

18.12.2017

Также читайте:

Цифровая медицина — реальность ближайшего будущего
Врачам предписано выдавать электронные рецепты своим пациентам
С 1 июля 2017 года врачи могут выдавать электронные больничные

Свежие новости цифровой экономики на нашем канале в Телеграм 

Положение о персональных данных

1. Общие положения

1.1. Настоящее Положение устанавливает порядок получения, учета, обработки, накопления, хранения документов, содержащих сведения, отнесенные к персональным данным граждан, обращающихся за получением медицинской помощи, медико-социальных услуг (далее – пациентов) в КГБУЗ «Ванинская ЦРБ» (далее – Учреждение).

1.2. Цель настоящего Положения – защита персональных данных пациентов, обращающихся в Учреждение от несанкционированного доступа и разглашения. Персональные данные всегда являются конфиденциальной, строго охраняемой информацией.

1.3. Основанием для разработки настоящего Положения являются Конституция РФ, Федеральный закон от 21.11.2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», Федеральный закон от 27.07.2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации», от 27.07.2006 года № 152-ФЗ «О персональных данных», иные нормативные и распорядительные акты.

1.4. Настоящее Положение и изменения к нему утверждаются приказом главного врача КГБУЗ «Ванинская ЦРБ».

1.5. Должности, ответственные за сбор, хранение персональных данных — врачи, средний медицинский персонал, сотрудники регистратур, отдела статистики, организационно-методического отдела, сотрудники общего отдела.

1.6. Должности, ответственные за обработку персональных данных, — врачи, средний медицинский персонал, сотрудники регистратур, отдела статистики, работники бухгалтерии, сотрудники общего отдела.

2. Понятие персональных данных

2.1. Персональными данными является информация, относящаяся к конкретному пациенту, сведения о фактах, событиях и обстоятельствах частной жизни пациента, а также биометрических данных, позволяющие идентифицировать его личность, сведения о состоянии его здоровья, в целях выполнения функций учреждения здравоохранения:

• оказания доврачебной, первичной врачебной медико-санитарной помощи, специализированной, скорой, паллиативной медицинской помощи, при проведении медицинских экспертиз, медицинских осмотров, медицинских освидетельствований, обращении донорской крови и (или) ее компонентов в медицинских целях.
• заполнения статистической и иной документации в соответствии с нормативными актами.

2.2. Персональные данные являются строго конфиденциальными, любые лица, получившие к ним доступ, обязаны хранить эти данные в тайне в течение установленного законом срока, за исключением данных, относящихся к следующим категориям:

• обезличенные персональные данные – данные, в отношении которых невозможно определить их принадлежность конкретному физическому лицу;
• общедоступные персональные данные;

2.3. Режим конфиденциальности персональных данных снимается в случаях обезличивания или по истечении соответствующего срока хранения.

2.4. В состав персональных данных пациента входят сведения, необходимые для выполнения функций учреждения здравоохранения:

• фамилия, имя, отчество;
• пол;
• дата рождения;
• адрес места жительства и регистрации;
• реквизиты документа, удостоверяющего личность;
• номер страхового свидетельства государственного пенсионного страхования;
• реквизиты полиса медицинского страхования;
• сведения о случаях обращения за медицинской помощью;
• данные о состоянии здоровья;
• биометрические данные (физиологические и поведенческие);
• о составе семьи;
• о социальном, семейном и имущественном положении;
• сведения о социальных льготах;

3. Носители персональных данных

3.1. Бумажные носители персональных данных:

• амбулаторная медицинская карта пациента;
• история болезни;
• медицинская документация, составленная в ходе проведения диспансеризации пациента;
• медицинская документация, составленная в ходе проведения осмотров;
• санаторно-курортные карты, справки о состоянии здоровья;
• талон амбулаторного пациента;
• результаты медицинских исследований;
• льготные рецептурные бланки;
• выписки из амбулаторных карт и историй болезни

3.2. Электронные носители персональных данных – база данных программного обеспечения «Регистратура пациентов», «Электронная медицинская карта», «Корвет», «БАРС».

3.3. Персональные данные на бумажных носителях (амбулаторные карты, истории болезни, другая медицинская документация) хранятся в регистратурах, помещениях архивов, в кабинетах с режимом сохранности.

3.4. При осуществлении амбулаторного приема, стационарного лечения пациентов, обработке медицинской документации, составленной по итогам осмотров, документы, находящиеся в работе у врачей, среднего медицинского персонала, медицинских регистраторов, сотрудников отдела статистики, организационно-методического отдела могут находиться на рабочих столах или в специальных папках только в течение рабочего дня. По окончании рабочего дня данные документы должны убираться в запирающиеся шкафы, регистратуры. Закрепленные помещения для работы с персональными данными в конце рабочего дня опломбировываются, ключи сдаются дежурной смене поликлиники под роспись.

3.5. Персональные данные на электронных носителях защищены паролем доступа, доступ к специализированной программе осуществляется только через личный доступ пароль, право на использование персональных данных имеют только работники, ответственные за обработку персональных данных.

4. Перечень действий с персональными данными и способы обработки персональных данных

4.1. С персональными данными пациента могут осуществляться следующие действия:

• смешанная обработка — ввод, сбор, систематизация, накопление, хранение, изменение, удаление, использование, передача по внутренней сети. Медицинским учреждением формируются массивы персонифицированных данных для передачи во внешние организации (страховые медицинские организации, фонд ОМС), данные передаются по защищенным каналам связи (VIPnet)

4.2. Персональные данные обрабатываются:

• для проведения оценки состояния здоровья пациента – полная обработка данных в соответствии с законодательством Российской Федерации;
• других мероприятий, возникающих в процессе выполнения функций Учреждения, в соответствии с законодательством Российской Федерации.

5. Основные условия проведения обработки персональных данных пациентов

5.1. Главный врач определяет объем, содержание обрабатываемых персональных данных пациента, руководствуясь Конституцией РФ, Федеральным законом от 21.11.2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации», иными федеральными законами, нормативными и распорядительными актами.

5.2. Обработка персональных данных пациента осуществляется исключительно в целях оказания медицинских и медико-социальных услуг, обеспечения соблюдения законов и иных нормативных правовых актов.

5.3. Все персональные данные предоставляются пациентом. Если персональные данные пациента возможно получить только у третьей стороны, то Учреждение обязано заранее уведомить об этом пациента и получить его письменное согласие. Учреждение должно сообщить о целях, предполагаемых источниках и способах получения персональных данных, а также о характере подлежащих получению персональных данных и последствиях отказа пациента дать письменное согласие на их получение.

5.4. Представление пациентом подложных документов или ложных сведений при оформлении документов для оказания медицинской помощи является основанием для отказа в оказании медицинской помощи.

5.5. Сотрудник, ответственный за сбор информации, при получении персональных данных пациента должен:

• проверить достоверность сведений, сверяя данные, предоставленные пациентом, с имеющимися у пациента документами.

5.6. В случае выявления неправомерных действий с персональными данными пациента:

• пациент или его законный представитель обращается к главному врачу с заявлением;
• главный врач издает приказ о проведении служебного расследования;
• если в ходе служебного расследования подтвердился факт неправомерных действий с персональными данными, то работник, ответственный за получение персональных данных, несет ответственность в установленном законом порядке.

6. Хранение и использование персональных данных пациентов

6.1. Персональные данные пациентов хранятся на бумажных и электронных носителях, в специально предназначенных для этого помещениях.

6.2. В процессе хранения персональных данных пациентов должны обеспечиваться:

• требования нормативных документов, устанавливающих правила хранения конфиденциальных сведений;
• сохранность имеющихся данных, ограничение доступа к ним, в соответствии с законодательством РФ и настоящим Положением;
• контроль над достоверностью и полнотой персональных данных, их регулярное обновление и внесение по мере необходимости соответствующих изменений.

6.3. Доступ к персональным данным пациентов имеют:

6.3.1. Внутренний доступ (доступ внутри организации):

• главный врач;
• заместители главного врача – к персональным данным пациентов в соответствии со спецификой оказываемых услуг;
• врачи, средний медицинский персонал – к персональным данным пациентов при осуществлении амбулаторного приема, стационарном лечении;
• сотрудники регистратур;
• работники бухгалтерии – к тем данным, которые необходимы для выполнения конкретных функций;
• сотрудники отдела статистики, организационно-методического отдела;
• сам пациент, носитель данных.

6.3.1.1. Полный доступ к персональным данным пациента имеют следующие работники Учреждения:

• врачи, средний медицинский персонал;
• заместители главного врача в соответствии со спецификой оказываемых услуг.

6.3.1.2. Частичный доступ к персональным данным пациента имеют:

• медицинский персонал регистратур;
• сотрудники отдела статистики, организационно-методического отдела;
• работники бухгалтерии.

6.3.2. Внешний доступ. Массовые потребители персональных данных вне организации государственные и негосударственные функциональные структуры:

• страховые медицинские организации;
• аптечные организации;
• фонд ОМС;
• военкоматы;
• органы социального страхования;
• органы внутренних дел, суда, прокуратуры.

6.3.3. Другие организации. Сведения о состоянии здоровья, другие сведения о пациенте могут быть представлены другой организации

«УТВЕРЖДАЮ»

Директор ООО ЛДЦ «Здоровье»

_______Т.Ф. Булатова

«03» июля 2019 года

Положение об обработке персональных данных пациентов в ООО ЛДЦ «Здоровье»

1. Общие положения.

1.1. Согласно ст. 23 Конституции РФ каждый имеет право на неприкосновенность частной жизни, личную, семейную тайну, защиту своей чести и доброго имени, реализация которого обеспечивается положением ст. 24 Конституции РФ, устанавливающим, что сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускается. В соответствии с законодательством Российской Федерации информация о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иные сведения, полученные при его обследовании и лечении, составляют врачебную тайну. Не допускается разглашение сведений, составляющих врачебную тайну, лицами, которым они стали известны при обучении, исполнении профессиональных, служебных и иных обязанностей, кроме случаев, установленных действующим законодательством. Отношения, связанные с обработкой персональных данных, осуществляемой юридическими лицами с использованием средств автоматизации или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, регулируются Федеральным законом от 27 июля 2006 г. N 152-ФЗ «О персональных данных».

Настоящее Положение разработано в целях выполнения, указанных выше норм Конституции РФ, в соответствии с требованиями законодательства Российской Федерации и иных нормативных правовых актов в сфере охраны здоровья населения и обработки персональных данных.

1.2. Настоящее Положение определяет порядок работы (получения, обработки, использования, передачи, хранения и т.д.) сотрудников медицинской организации (далее Оператор) с персональными данными пациентов и гарантии конфиденциальности сведений о пациенте, предоставленных пациентом в медицинской организации; права пациента при обработке его персональных данных; ответственность лиц за невыполнение требований норм, регулирующих обработку персональных данных пациента.

2.     Понятие и состав персональных данных пациента

2.1. Персональные данные пациента — любая информация, относящаяся к прямо или косвенно к пациенту (субъекту персональных данных).

2.2. В целях ведения персонифицированного учета осуществляется обработка следующих персональных данных о лицах, которым оказываются медицинские услуги (пациентах):

1) фамилия, имя, отчество (последнее — при наличии);

2) пол;

3) дата рождения;

4) место рождения;

5) гражданство;

6) данные документа, удостоверяющего личность;

7) место жительства;

место регистрации;

9) дата регистрации;

10) страховой номер индивидуального лицевого счета (при наличии), принятый в соответствии с законодательством Российской Федерации об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования;

11) номер полиса обязательного медицинского страхования застрахованного лица (при наличии);

12) данные свидетельства о рождении ребенка;

13) анамнез;

14) диагноз;

15) сведения об организации, оказавшей медицинские услуги;

16) вид оказанной медицинской помощи;

17) условия оказания медицинской помощи;

18) сроки оказания медицинской помощи;

19) объем оказанной медицинской помощи;

20) результат обращения за медицинской помощью;

21) серия и номер выданного листка нетрудоспособности (при наличии);

22) сведения об оказанных медицинских услугах;

23) примененные порядки и стандарты медицинской помощи;

24) сведения о медицинском работнике или медицинских работниках, оказавших медицинскую услугу;

24) фото/видеоизображение.

Все персональные данные, касающиеся состояния здоровья пациента, относятся к специальным категориям персональных данных и обрабатываются в соответствии с установленным законодательством и иными нормативными правовыми актами требованиями.
 

3. Сбор, цели обработки и защита персональных данных пациента

3.1. Обработка персональных данных осуществляется:

— после получения письменного согласия субъекта персональных данных, составленного по утверждённой Оператором форме, соответствующей требованиям федерального закона, за исключением случаев, предусмотренных частью 2 статьи 6 ФЗ «О персональных данных»;

— после направления уведомления об обработке персональных данных в орган государственного надзора в сфере связи, информационных технологий и массовых коммуникаций территории, за исключением случаев, предусмотренных частью 2 статьи 22 Федерального закона «О персональных данных»;

— после принятия Оператором необходимых мер по защите персональных данных.

3.2. Все персональные данные пациента следует получать лично у пациента или у его законного представителя. Если персональные данные пациента возможно получить только у третьей стороны, то пациент должен быть уведомлен об этом заранее и от него должно быть получено    письменное    согласие.

3.3. Оператор сообщает пациенту или его законному представителю о целях обработки персональных данных, предполагаемых источниках и способах получения персональных данных и последствиях отказа пациента дать письменное согласие на их получение.

3.4. Оператор осуществляет обработку персональных данных только после получения письменного согласия пациента (или его законного представителя) на обработку его персональных данных за исключением случаев, предусмотренных действующим законодательством.

3.5. Оператор с согласия пациента может запрашивать и получать персональные данные пациента, используя информационные системы персональных данных с применением средств автоматизации.

3.6. Обработка Оператором персональных данных пациента осуществляется исключительно в целях оказания пациенту качественной медицинской помощи в необходимых объёмах, соблюдения требований действующего законодательства, иных нормативных правовых актов, обеспечения контроля объёмов и качества оказанной медицинской помощи.

3.7. Оператор при   определении   объема   и   содержания   обрабатываемых   персональных данных пациента руководствуется Конституцией Российской Федерации, Основами законодательства Российской Федерации об охране здоровья граждан, иными нормативными правовыми актами в сфере охраны здоровья населения и обработки персональных данных.

3.8. Защита персональных данных пациента от неправомерного их использования или утраты обеспечивается Оператором за счет собственных средств в порядке, установленном законодательством, и принятыми Оператором в соответствии с ним локальными нормативными актами.

4. Порядок использования, хранения, передачи персональных данных пациента

4.1. Персональные данные пациентов предоставляются Оператору после получения соответствующего информированного согласия пациентов на обработку их персональных данных. Персональные данные пациентов у Оператора содержаться в информационных системах персональных данных, представляющих собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств. В информационных системах персональные данные могут быть размещены на материальных, в том числе бумажных носителях (медицинская карта пациента, иные медицинские документы).

4.2. Доступ к обработке персональных данных пациентов (как с использованием средств автоматизации, так и без использования средств автоматизации) обеспечивается в установленном Оператором порядке.

4.3. Конкретные обязанности по работе с информационными системами персональных данных и материальными носителями информации, в том числе с медицинскими документами, содержащими персональные данные пациентов, возлагаются на сотрудников Оператора.

4.4. Работа с информационными системами персональных данных, материальными носителями, в том числе с медицинской документацией, содержащими персональные данные пациентов осуществляется в специально отведённых для этого помещениях: ординаторские, кабинеты врачей, орг.-метод. отдел, кабинет медицинской статистики, регистратура, серверная и т.д.

4.5. Требования к месту обработки персональных данных, в том числе к серверной, обеспечивающие их защищённость устанавливаются Оператором.

4.6. Лица, допущенные в установленном порядке к обработке персональных данных, имеют право обрабатывать только те персональные данные пациентов, которые необходимы для выполнения конкретных функций.

4.7. Оператор при создании и эксплуатации информационных систем персональных данных пациентов с использованием средств автоматизации обеспечивает проведение классификации информационных систем в установленном порядке.

4.8. Оператор при создании и эксплуатации информационных систем персональных данных пациентов с использованием средств автоматизации и без использования средств автоматизации принимает все необходимые организационные и технические меры, обеспечивающих выполнение установленных действующим законодательством требований к обработке персональных данных.

4.9. Оператор при осуществлении обработки персональных данных пациентов без использования средств автоматизации выполняет следующие требования.

4.9.1. При ведении журналов (реестров, книг, иных документов), содержащих персональные данные пациентов, необходимые для организации оказания медицинской помощи, Оператор соблюдает следующие условия:

— необходимость ведения такого журнала (реестра, книги, иных документов) предусматривается приказом Оператора, содержащим сведения о цели обработки персональных данных, осуществляемой без использования средств автоматизации, способы фиксации и состав информации, запрашиваемой у субъектов персональных данных, перечень лиц (поименно или по должностям), имеющих доступ к материальным носителям и ответственных за ведение и сохранность журнала (реестра, книги, иных документов), сроки обработки персональных данных;

— копирование содержащейся в таких журналах (реестрах, книгах, иных документах) информации не допускается, за исключением случаев, предусмотренных действующим законодательством.

4.9.2. Обработка персональных данных пациентов, осуществляемая без использования средств автоматизации, осуществляется таким образом, чтобы в отношении каждой категории персональных данных пациентов можно было определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

4.9.4. При хранении материальных носителей соблюдаются условия, обеспечивающие сохранность персональных данных и исключающие несанкционированный к ним доступ.

4.9.5. Уточнение персональных данных пациента при осуществлении их обработки без использования средств автоматизации производится путем обновления или изменения данных на материальном носителе, а если это не допускается техническими особенностями материального носителя, — путем фиксации на том же материальном носителе сведений о вносимых в них изменениях либо путем изготовления нового материального носителя с уточненными персональными данными.

4.10. С согласия пациента или его законного представителя допускается передача сведений, в том числе персональных данных, составляющих врачебную тайну, другим гражданам, в том числе должностным лицам, в интересах обследования и лечения пациента, для проведения научных исследований, публикации в научной литературе, использования этих сведений в учебном процессе и в иных целях.

4.11. Передача   персональных   данных   пациента, составляющих врачебную тайну, без согласия пациента или его законного представителя допускается может   допускается в случаях, предусмотренных частью 4 статьи 13 Федерального закона Российской Федерации от 21 ноября 2011 г. N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» (далее Основы):

1) в целях проведения медицинского обследования и лечения гражданина, который в результате своего состояния не способен выразить свою волю, с учетом положений пункта 1 части 9 статьи 20 Основ;

2) при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;

3) по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля за поведением условно осужденного, осужденного, в отношении которого отбывание наказания отсрочено, и лица, освобожденного условно-досрочно;

4) в случае оказания медицинской помощи несовершеннолетнему в соответствии с пунктом 2 части 2 статьи 20 Основ, а также несовершеннолетнему, не достигшему возраста, установленного частью 2 статьи 54 Основ, для информирования одного из его родителей или иного законного представителя;

5) в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий;

6) в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов, кадровых служб и военно-врачебных (врачебно-летных) комиссий федеральных органов исполнительной власти, в которых федеральным законом предусмотрена военная и приравненная к ней служба;

7) в целях расследования несчастного случая на производстве и профессионального заболевания;

при обмене информацией медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства Российской Федерации о персональных данных;

9) в целях осуществления учета и контроля в системе обязательного социального страхования;

10) в целях осуществления контроля качества и безопасности медицинской деятельности в соответствии с Основами.

4.12. При передаче персональных данных пациента сотрудники медицинской организации должны соблюдать следующие требования:

— не сообщать персональные данные пациента третьей стороне без письменного согласия пациента, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью пациента, а также в случаях, установленных федеральным законом;

— не сообщать персональные данные пациента в коммерческих и иных целях без его письменного согласия;

— предупредить лиц, получающих персональные данные пациента, о том, что эти данные могут быть использованы лишь в целях, для которых они сообщены, и требовать от этих лиц подтверждения того, что это правило соблюдено. Лица, получающие персональные данные пациента, обязаны соблюдать режим секретности (конфиденциальности);

— передавать персональные данные пациента представителям пациента в порядке, установленном законодательством, и ограничивать эту информацию только теми персональными данными пациента, которые необходимы для выполнения указанными представителями их функций.

4.12. Лица, которым в установленном законом порядке переданы сведения, составляющие врачебную тайну, наравне с медицинскими и фармацевтическими работниками с учетом причиненного гражданину ущерба несут за разглашение врачебной тайны дисциплинарную, административную или уголовную ответственность в соответствии с законодательством Российской Федерации, законодательством субъектов Российской Федерации.

5.     Права пациентов при обработке Оператором персональных данных пациентов

5.1. В   целях   обеспечения   защиты   своих интересов, реализации прав и свобод в сфере персональных данных, регламентированных действующим законодательством, пациенты, их законные представители, а также представители имеют право на:

•        предоставление Оператором полной информации об их персональных данных и обработке этих данных;

•        свободный бесплатный доступ к своим персональным данным, включая право на получение копий любой записи, содержащей персональные данные пациента, за исключением случаев, предусмотренных федеральным законом;

•        определение своих представителей для защиты своих персональных данных;

•         требование уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;

•        требование об извещении Оператором всех лиц, которым ранее были сообщены неверные или неполные персональные данные пациента, обо всех произведенных в них исключениях, исправлениях или дополнениях;

•        обжалование действий или бездействия оператора в уполномоченный орган по защите прав субъектов персональных данных или в судебном порядке.

Права пациента, представителя, законного представителя на доступ к своим персональным данным ограничиваются в случаях, предусмотренных действующим законодательством

7.    Заключительные положения

7.1.  Ответственным за организацию обработки и обеспечения безопасности персональных данных в ООО ЛДЦ «Здоровье» назначен директор Общества с ограниченной ответственностью Лечебно-диагностический центр «Здоровье».

 7.2. Уполномоченным органом по защите прав субъектов персональных данных является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор).

   7.3.Настоящее Положение обязательно для соблюдения и подлежит доведению до всех сотрудников ООО ЛДЦ «Здоровье». Все работники Общества должны быть ознакомлены под роспись с документами Общества, устанавливающими условия, порядок обработки персональных данных, а также о правах и обязанностях в этой области.

7.4. Настоящее Положение вступает в законную силу с момента утверждения его руководителем Оператора и действует до утверждения нового положения.