Как работать с персональными данными пациентов в 2024 году: рекомендации для медучреждений

Организации, оказывающие услуги в сфере медицины, каждый день сталкиваются с необходимостью сбора, обработки и хранения ПД обратившихся к ним граждан. В этом материале рассмотрим, как правильно наладить взаимодействие с конфиденциальной информацией, чтобы обеспечить безопасность данных пациентов и избежать штрафных санкций со стороны РКН.

Персональные данные и медицинская тайна

Под ПД понимается любая информация, которая позволяет напрямую или опосредованно провести идентификацию личности отдельной персоны. Медицинские учреждения, как правило, соприкасаются с двумя категориями таких данных:

  1. Общие сведения — это фамилия, имя и отчество, основные данные паспорта, адрес регистрации, СНИЛС.
  2. Данные о здоровье человека.

Ко второй категории относятся следующие данные:

  • факт обращения за медуслугами;
  • итоги проведенных обследований, включая анализы;
  • диагноз;
  • иные нюансы физического состояния и т.д.

Указанные сведения защищены врачебной тайной, предполагающей особые правила взаимодействия с конфиденциальными данными обратившихся за медпомощью граждан и ограничение доступа к ней для сторонних лиц (п. 1 ст. 13 закона № 323-ФЗ).

Важно отметить, что обязанность следованию режима профессиональной докторской тайны возложена не только на врачей, но и на иных сотрудников медицинского учреждения, имеющих непосредственный к личным данным граждан, включая администраторов, работающих в регистратуре, и лаборантов.

В каких случаях придется запросить согласие пациента на обработку ПД?

Пациент обладает правом на охрану любых данных, ставших известными медучреждению.

В то же врем сведения из специальной категории, такие как данные о состоянии организма человека, результаты диагностики или врачебное заключение, могут быть обработаны и переданы без согласия пациента, если цель подобного — оказать медпомощь (п. 4 ч. 2 ст. 10 закона № 152-ФЗ).

Например, врач поликлиники может передать медкарту человека в краевое медучреждение без необходимости запрашивать дополнительное разрешение. Конституционный суд в своем определении № 1176-О от 16.07.2013 уточнил, что подобное регулируется нормами докторской тайны, что исключает нарушение прав пациента при обработке ПД в подобном контексте.

Личная информация человека подлежит передаче без его согласия в письменном виде в ряде исключительных ситуаций, которые определены действующим законодательством (ч. 4 ст. 13 закона № 323-ФЗ):

  • если человек из-за своего физического состояния не может выразить согласие, но ему требуется оказать медпомощь;
  • по официальному запросу правоохранительных и следственных органов, а также ФСИН;
  • при наличии угроз распространения инфекций или отравлений, носящих характер массовости;
  • органам внутренних дел, если имеются предпосылки полагать, что вред состоянию человека был нанесен из-за какого-либо преступления или иного действия, выходящего за рамки законодательства;
  • для учета и мониторинга в системе ОМС;
  • чтобы контролировать качество и безопасность медуслуг, оказанных гражданину.

В каких ситуация разрешения пациента не обойтись:

  • в случае предоставление пациенту услуг за деньги;
  • для направления сведений о состоянии здоровья сторонним гражданам, которых пациент добровольно указал при подписании согласия на медицинское вмешательство (ч. 5 ст. 19 закона № 323-ФЗ);
  • при передаче сведений или документации посредством открытых каналов связи (эл. почта или всемирная сеть), как при консультировании, оказываемом в дистанционном формате;
  • при передаче ПД (трансграничная передача) в учреждения, расположенные в государствах, которые не являются членами Конвенции Совета Европы по защите физлиц при автоматизированной обработке ПД.

Значительное количество организаций сферы медицины предпочитают перестраховаться и запрашивают письменное согласие на обработку персональных данных у всех обратившихся за помощью людей в самом начале – при оформлении медкарты.

Как работать с ПД пациентов?

Следуя нормам действующего законодательства, медицинское учреждение, выступающее в роли Оператора, должно реализовать комплекс мер для обеспечения защищенности информации. Именно их соблюдение будет оценивать РКН при возможной проверке. Основные обязанности изложены в далее указанных нормативно-правовых актах:

  • Приказ Минздрава РФ от 24.12.2018 № 911н;
  • Приказ ФСТЭК РФ от 11.02.2013 № 17;
  • ФЗ № 152-ФЗ «О персональных данных».

К ключевым мерам по охране конфиденциальности данных пациентов следует отнести:

  • Информационная система медорганизации должна пройти процедуру сертификации, подтверждая ее следование требованиям защищенности, и проходить регулярную проверку эффективности.
  • Все применяемые средства по охране сведений, включая криптографию, должны иметь соответствующую сертификацию.
  • На всех устройствах, где хранится информация, обязательно установлено антивирусное ПО.
  • Допуск к сведениям пациентов строго ограничен как в отношении электронных носителей, так и бумажных, включая тщательную организацию работы регистратуры.
  • Обеспечивается корректное и безопасное соединение с ЕГИСЗ.
  • В учреждении разработан и утвержден нужный пакет документации, включая положение об обработке ПД и политику конфиденциальности.
  • Приказом руководителя (главного врача) определен сотрудник, несущий ответственность за работу с ПД посетителей клиники/медкомпании.
  • Определен перечень работников, имеющих допуск к конфиденциальным данным о пациентах.
  • Для всех новых пациентов предусмотрена форма согласия на обработку ПД, заполняемая при обращении в медорганизацию.

Исполнение этих базовых положений поможет клинике избежать претензий со стороны РКН и уменьшить в разы риски наложения санкций за несоблюдение законодательства № 152-ФЗ.

Санкции за некорректную работу с ПД обратившихся за медпомощью граждан

Если у учреждения нет письменного согласие на обработку данных или имело место быть нарушение при его оформлении, то организация может столкнуться со следующими видами последствий:

  • Для должностных лиц — от 100 до 300 тыс. руб.;
  • Для организаций — от 300 до 500 тыс. руб.

Повторное нарушение тех же требований:

  • Для должностных лиц — от 300 до 500 тыс. руб.;
  • Для индивидуальных предпринимателей — от 500 тыс. до 1 млн руб.;
  • Для организаций — от 1 до 1,5 млн руб.

Указанные санкции установлены ч. 2 ст. 13.11 КоАП РФ.

Чтобы впредь исполнять все требования законодательства в части обработки ПД пациентов, оставляйте заявку на этой странице на скачивание полезных материалов от наших юристов!

Остались вопросы?

Наш менеджер вас проконсультирует

Номер телефона
E-mail
Ваш вопрос
Обязательно отметьте поля ниже*
Нажимая кнопку "Задать вопрос", я соглашаюсь на обработку моих персональных данных в соотв. с ФЗ от 27.07.2006 №152-ФЗ на условиях и для целей, определенных Политикой конфиденциальности. *
Нажимая кнопку "Задать вопрос", я соглашаюсь на получение рассылки в соотв. с ФЗ от 13.03.2006 №38-ФЗ на условиях и для целей, определенных Политикой конфиденциальности. *
Спасибо за заявку, наш специалист перезвонит вам в течение 15 минут!

Подобрать пакет документов

Спасибо за заявку, наш специалист перезвонит вам в течение 15 минут!
Извините, произошла ошибка, попробуйте снова