Обработка персональных данных в медицинской организации

19356

Мероприятия по обеспечению информационной безопасности при работе с персональными данными в медицинской организации

Утверждение графика мероприятий по организации обработки персональных данных

В первую очередь, медицинской организации целесообразно составить график мероприятий по организации обработки и защиты персональных данных, однако с учетом того, что Закон № 152-ФЗ в полную силу заработал еще в 2010 г.1 и, соответственно, большая часть мероприятий и требований закона должна была быть выполнена к 1 января 2010 г. Поэтому, скорее всего, потребуется внести некоторые изменения в положения и регламенты медицинской организации в связи с вышеуказанными изменениями законодательства.

Назначение ответственного за организацию обработки персональных данных

Работник учреждения здравоохранения назначается ответственным за организацию обработки персональных данных во исполнение норм ст. 22.1 Закона № 152-ФЗ приказом руководителя (см. образец). В его обязанности согласно закону теперь также входит:

  • осуществление контроля над соблюдением оператором и сотрудниками медицинской организации законодательства о персональных данных и требований к их защите;
  • доведение до сведения работников медицинской организации положений законодательства и иных актов (например, локальных актов учреждения), регламентирующих процессы обработки персональных данных, и требований к их защите;
  • организация приема и обработки обращений и запросов субъектов персональных данных (работников медицинской организации и пациентов) и осуществление контроля над их приемом и обработкой.

Ответственный сотрудник получает указания непосредственно от руководства медицинской организации и подотчетен только ему (ч. 2 ст. 22.1 Закона № 152-ФЗ). Соответствующие изменения и дополнения необходимо внести и в должностную инструкцию работника, ответственного за указанную часть работы в учреждении здравоохранения.

Обследование информационной системы медицинской организации

Обследование информационной системы осуществляется с целью систематизации сведений об организации и обрабатываемых данных, выделения систем обработки персональных данных и их классификации в соответствии со ст. 19 Закона № 152-ФЗ, нормативными и методическими документами.

При проведении данного этапа работы по обеспечению информационной безопасности при обработке персональных данных необходимо руководствоваться следующими документами:

  • постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
  • Методикой определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных, утвержденной ФСТЭК России 14.02.2008;
  • Методическими рекомендациями по оснащению медицинских учреждений компьютерным оборудованием и программным обеспечением для регионального уровня единой государственной информационной системы в сфере здравоохранения, а также функциональными требованиями к ним, утвержденными Минздравсоцразвития России 03.05.2012;
  • Методическими рекомендациями для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости, утвержденными Минздравсоцразвития России 23.12.2009;
  • Методическими рекомендациями по составлению частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений здравоохранения, социальной сферы, труда и занятости, утвержденными Минздравсоцразвития России 23.12.2009;
  • Методическими рекомендациями по проведению в 2011–2012 гг. работ по информационной безопасности для регионального уровня Единой государственной информационной системы в сфере здравоохранения, утвержденными Минздравсоцразвития России (опубликованы 31.08.2011 на официальном сайте Минздравсоцразвития России).


Создание системы обеспечения информационной безопасности в медицинской организации

Субъекты персональных данных (работники медицинской организации и пациенты), передавая сведения о себе, вправе рассчитывать на соблюдение конфиденциальности при использовании данной информации в медицинской организации. Это подразумевает не только применение технических средств защиты (специальные сертифицированные программные и технические средства защиты информации), но и проведение комплекса организационных мероприятий, направленных на предотвращение потери, искажения и несанкционированного доступа к персональным данным.

Указанный комплекс мероприятий должен включать разработку следующей необходимой документации: должностные инструкции, положения об обработке персональных данных, приказы, журналы (журнал регистрации выявленных нарушений, журнал регистрации используемого программного обеспечения, журнал по учету носителей информации, содержащих персональные данные, журнал учета обращений граждан (субъектов персональных данных)), обязательства медицинского работника о неразглашении данных, регламенты взаи модействия между подразделениями медицинской организации, регламенты использования программного обеспечения, ресурсов сети Интернет, требования к профессиональной подготовке персонала.

Здесь необходимо отметить, что для создания системы защиты информации медицинской организации следует обратиться к организациям, имеющим соответствующие лицензии ФСТЭК России, ФСБ России на деятельность по технической защите информации.

Согласно информационному сообщению ФСТЭК России об особенностях защиты персональных данных при их обработке в информационных системах персональных данных и сертификации средств защиты информации, предназначенных для защиты персональных данных, от 20.11.2012 № 240/24/4669, в настоящее время ведомство завершает работу по подготовке проекта приказа, устанавливающего состав и содержание организационных и технических мер по обеспечению безопасности персональных данных при их обработке.

В настоящее время данный документ не утвержден, поэтому проведение работ в медицинской организации в этой части пока преждевременно.

Направление уведомления об обработке персональных данных

Согласно ст. 23 Закона № 152-ФЗ Роскомнадзор является уполномоченным органом по защите прав субъектов персональных данных, который ведет реестр операторов. В соответствии со ст. 22 данного закона оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку.

При этом медицинские организации не обязаны подавать уведомление об обработке следующих данных:

  • обрабатываемых в соответствии с Трудовым кодексом РФ;
  • полученных в связи с заключением договора, стороной которого является субъект персональных данных, если данные не распространяются без согласия лица и используются оператором исключительно для исполнения договора;
  • сделанных субъектом персональных данных общедоступными;
  • включающих только фамилии, имена и отчества;
  •  необходимых в целях однократного пропуска лица на территорию, на которой находится оператор, или в иных аналогичных целях;
  •  включенных в информационные системы персональных данных, имеющие статус государственных автоматизированных информационных систем;
  • обрабатываемых без использования средств автоматизации в соответствии с законодательством, устанавливающим требования к обеспечению безопасности данных при их обработке.

Форма уведомления и рекомендации по ее заполнению содержатся в приказе Роскомнадзора от 19.08.2011 № 706 «Об утверждении Рекомендаций по заполнению образца формы уведомления об обработке (о намерении осуществлять обработку) персональных данных».

Особо необходимо отметить, что в новой редакции Закона № 152-ФЗ скорректирован срок, в пределах которого операторы обязаны представить в Роскомнадзор предусмотренные Законом № 152-ФЗ сведения: если операторы обрабатывали персональные данные до 1 июля 2011 г., то все необходимые сведения они должны были подать не позднее 1 января 2013 г.

За непредоставление или несвоевременное предоставление уведомления на организацию может быть наложен штраф в размере от 3 тыс. до 5 тыс. руб., а на должностное лицо – от 300 до 500 руб. (ст. 19.7 Кодекса РФ об административных правонарушениях).

Получение, учет и хранение согласия субъекта персональных данных на обработку персональных данных

Согласно законодательству, обработка специальных категорий персональных данных должна осуществляться с письменного согласия субъекта персональных данных (ст. 6, 9, 10 Закона № 152-ФЗ, ч. 3 ст. 13 Закона № 323-ФЗ).

Состав сведений, указываемых в согласии пациента на обработку его персональных данных, перечислен в ст. 9 Закона № 152-ФЗ:

  •  фамилия, имя, отчество, адрес пациента; реквизиты документа, удостоверяющего его личность;
  •  наименование и адрес оператора, получающего согласие;
  •  цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие пациента;
  •  наименование и адрес лица, осуществляющего обработку персональных данных по поручению оператора;
  •  перечень действий с персональными данными, описание способов обработки;
  • срок, в течение которого действует согласие, способ его отзыва;
  •  подпись пациента.

Как уже было указано выше, письменное согласие работника медицинской организации на обработку его персональных данных не требуется. Также нет необходимости в его оформлении при передаче информации в федеральный регистр медицинских и фармацевтических работников, поскольку это предусмотрено ст. 92 и 93 Закона № 323-ФЗ.

Необходимость оформления письменного согласия работника возникает, если в работе медицинской организации используется фотография работника (биометрические персональные данные), например, размещается на информационном стенде, в сети Интернет, на сайте учреждения (ст. 11 Закона № 152-ФЗ).

Что касается пациента, то его согласие на обработку персональных данных не требуется в следующих случаях:

  • медицинская помощь оказывается по программе обязательного медицинского страхования (ОМС), и персональные данные передаются только в территориальный фонд ОМС и страховую организацию (ст. 38, 39, 43, 44 и 48 Федерального закона от 29.11.2010 № 326-ФЗ «Об обязательном медицинском страховании»);
  •  персональные данные пациента о состоянии его здоровья передаются третьим лицам (ч. 4 ст. 13 Закона № 323-ФЗ):
  1. если пациент в результате своего состояния не способен выразить свою волю, но ему необходимо лечение;
  2.  при угрозе распространения инфекционных заболеваний, массовых отравлений;
  3.  по запросу органов дознания и следствия, суда, органа уголовно-исполнительной системы;
  4.  в случае оказания медицинской помощи несовершеннолетнему;
  5. в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются основания полагать, что вред его здоровью причинен в результате противоправных действий;
  6. в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов; – в целях расследования несчастного случая на производстве и профессионального заболевания; – при обмене информацией медицинскими организациями, в т. ч. размещенной в информационных системах, в целях оказания медицинской помощи;
  7. в целях осуществления учета и контроля в системе обязательного социального страхования;
  8. в целях осуществления контроля качества и безопасности медицинской помощи.


Письменное согласие пациента на передачу (предоставление) его персональных данных, составляющих врачебную тайну, требуется в случаях, когда:

  • медицинская помощь оказывается пациенту на платной основе, вне программы государственных гарантий, и сведения передаются третьим лицам (организациям), не являющимся медицинскими организациями, например в страховую компанию и (или) страхователю по дополнительному медицинскому страхованию (в случае, если им не является сам пациент или его законный представитель);
  • информация о состоянии здоровья пациента передается лицам, указанным самим пациентом или его законным представителем (ч. 5 ст. 19 Закона № 323-ФЗ); в согласии должны быть указаны фамилия, имя, отчество и контактные данные этих лиц (при этом можно считать, что пациент является представителем этих лиц, в связи с чем их специальное письменное согласие на обработку (хранение) указанных персональных данных в медицинском учреждении не требуется (ч. 1 и 8 ст. 9 Закона № 152-ФЗ);
  • передача персональных данных (документов) пациента осуществляется по открытым каналам связи (сети Интернет, электронной почте), например, при проведении дистанционных (телемедицинских) консультаций;
  • осуществляется трансграничная передача персональных данных пациента, например, при осуществлении телемедицинских консультаций с участием врачей, находящихся в странах, не являющихся сторонами Конвенции Совета Европы по защите физических лиц при автоматизированной обработке персональных данных или не включенных в перечень иностранных государств, обеспечивающих адекватную защиту прав субъектов персональных данных, утверждаемый Роскомнадзором (ст. 12 Закона № 152-ФЗ).


В случаях, когда в информационной системе медицинского учреждения хранятся и обрабатываются биометрические данные пациента (данные геометрии контура кисти руки, изображения отпечатка пальца, сосудистого русла, изображение радужной оболочки глаза, изображение (фотография) лица, данные ДНК и др.), на это также необходимо его специальное письменное согласие (ст. 11 Закона № 152-ФЗ).

Обеспечение неограниченного доступа к документам, определяющим политику медицинской организации в отношении обработки персональных данных

Согласно ст. 18.1 Закона № 152-ФЗ оператор (медицинская организация) обязан опубликовать на сайте организации или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.

Опубликование сведений о медицинских работниках

Согласно п. 7 ст. 21 и п. 7 ст. 79 Закона № 323-ФЗ при выборе врача и медицинской организации гражданин имеет право на получение информации в доступной для него форме, в т. ч. размещенной в информационно-телекоммуникационной сети Интернет, о медицинской организации, об осуществляемой ею медицинской деятельности и о врачах, об уровне их образования и квалификации.

Предоставление возможности для ознакомления с персональными данными пациентов, а также исправления неверных сведений

Согласно ст. 20 Закона № 152-ФЗ, медицинская организация обязана предоставить безвозмездно пациенту возможность ознакомления с его персональными данными. В срок, не превышающий 7 рабочих дней со дня предоставления пациентом сведений, подтверждающих, что персональные данные были получены незаконно или не являются необходимыми для заявленной цели обработки, оператор обязан уничтожить такие персональные данные.

Заметим, что основания, порядок и сроки предоставления медицинских документов (их копий) пациенту устанавливаются Минздравом России (ч. 5 ст. 22 Закона № 323-ФЗ). Однако подобный документ в настоящее время пока еще не разработан.



Источник: zdrav.ru

Поделиться
19356
Новости
Личный кабинет