Обработка персональных данных медицинскими организациями

Одной из актуальных задач, возникающих в работе любой организации, является защита конфиденциальных данных, которые не подлежат передаче третьим лицам при отсутствии письменного согласия их обладателя. Обработка персональных данных в медицинских учреждениях предполагает как применение защиты с использованием специальных технологий, так и проведение ряда организационных мероприятий с целью предупреждения потери, искажения информации или доступа посторонних к персональным данным. В медицинских учреждениях и сотрудники, и пациенты, передавая личные сведения, вправе рассчитывать на конфиденциальность. Поэтому сегодня одна из задач, стоящих перед руководством, — защита персональных данных в медицинских учреждениях в соответствии с существующими требованиями законодательства.

Обеспечение безопасности информации регулируется несколькими законами: «Об основах охраны здоровья граждан», «О персональных данных», «Об обязательном медстраховании» и др. Кроме того, защита персональных данных в медицинских организациях тесно переплетается с комплексом требований по неразглашению врачебной тайны, соблюдение которой также регулируется законодательством.

Особенности защиты персональных данных в медицинских учреждениях

Прежде всего должен быть назначен ответственный, который организует процесс и осуществляет контроль соблюдения требований. Кроме того, в Роскомнадзор должно быть направлено уведомление об обработке персональных данных медицинской организацией, его форма утверждена приказом Минкомсвязи № 94 от 30.05.2017 г. Несвоевременное предоставление или непредоставление уведомления наказывается штрафом в соответствии с КоАП (ст. 19.7).

Следует учитывать, что сведения о здоровье человека, согласно законодательству, относятся к конфиденциальным, их обработка возможна лишь при наличии его письменного согласия. Указываемые в согласии на обработку персональных данных (бланк медицинской организации) сведения перечислены в ФЗ №152. Однако в исключительных случаях письменного разрешения пациента не нужно: по экстренным показаниям, при угрозе распространения опасных заболеваний, по запросу следственных органов, при назначении экспертизы по требованию военных комиссариатов, при обмене информацией между клиниками с целью оказания медпомощи, при получении медуслуг по программе ОМС и др.

Что касается сотрудников, то получение от них согласия на обработку персональных данных медицинским учреждением также обязательно. Необходимость в оформлении письменного разрешения может возникнуть, если биометрические данные или фотография работника размещены на информационном стенде, на сайте учреждения или выложены в Интернете.

Каждая медорганизация, согласно законодательству, должна иметь положение о персональных данных пациентов медицинского учреждения — нормативный документ, отсутствие которого влечет за собой административную ответственность. Поскольку, кроме требований закона о персональных медицинских данных, медучреждение должно соблюдать требования о неразглашении врачебной тайны, можно объединить правила и порядок этих рекомендаций в одном нормативном акте — Политике конфиденциальности.

При проверке медорганизация должна предъявить ряд документов:

• Политику обработки персональных данных медицинского учреждения
• Согласие пациентов и персонала
• Приказ о назначении ответственных за обеспечение безопасности полученной информации
• Уведомления о получении данных от другой организации (при запросах)
• Перечень персональных данных в медицинском учреждении (сотрудников и пациентов)
• Журнал ознакомления с политикой персональных данных в медицинской организации с подписями персонала и другие документы в зависимости от документооборота медорганизации

Защита персональных данных медицинской системы — весьма трудоемкий процесс, который должен быть регламентирован и документирован надлежащим образом, с определением обязанностей, прав и ответственности всех его участников. Нарушение требований повлечет за собой ответственность. Конечно, можно самостоятельно выполнить все рекомендации по защите данных, но надежнее воспользоваться помощью специальных организаций, имеющих лицензию. Если вам нужна консультация, касающаяся работы с конфиденциальными сведениями, обратитесь к нашим опытным специалистам. Наши сотрудники разъяснят все нюансы, которые помогут соблюсти требования законодательства и тем самым избежать санкций.