Как работать с персональными данными пациентов в 2024 году: рекомендации для медучреждений

Организации, оказывающие услуги в сфере медицины, каждый день сталкиваются с необходимостью сбора, обработки и хранения ПД обратившихся к ним граждан. В этом материале рассмотрим, как правильно наладить взаимодействие с конфиденциальной информацией, чтобы обеспечить безопасность данных пациентов и избежать штрафных санкций со стороны РКН.

Персональные данные и медицинская тайна

Под ПД понимается любая информация, которая позволяет напрямую или опосредованно провести идентификацию личности отдельной персоны. Медицинские учреждения, как правило, соприкасаются с двумя категориями таких данных:

1. Общие сведения — это фамилия, имя и отчество, основные данные паспорта, адрес регистрации, СНИЛС.
2. Данные о здоровье человека.

Ко второй категории относятся следующие данные:

• факт обращения за медуслугами;
• итоги проведенных обследований, включая анализы;
• диагноз;
• иные нюансы физического состояния и т.д.

Указанные сведения защищены врачебной тайной, предполагающей особые правила взаимодействия с конфиденциальными данными обратившихся за медпомощью граждан и ограничение доступа к ней для сторонних лиц (п. 1 ст. 13 закона № 323-ФЗ).

Важно отметить, что обязанность следованию режима профессиональной докторской тайны возложена не только на врачей, но и на иных сотрудников медицинского учреждения, имеющих непосредственный к личным данным граждан, включая администраторов, работающих в регистратуре, и лаборантов.

В каких случаях придется запросить согласие пациента на обработку ПД?

Пациент обладает правом на охрану любых данных, ставших известными медучреждению.

В то же врем сведения из специальной категории, такие как данные о состоянии организма человека, результаты диагностики или врачебное заключение, могут быть обработаны и переданы без согласия пациента, если цель подобного — оказать медпомощь (п. 4 ч. 2 ст. 10 закона № 152-ФЗ).

Например, врач поликлиники может передать медкарту человека в краевое медучреждение без необходимости запрашивать дополнительное разрешение. Конституционный суд в своем определении № 1176-О от 16.07.2013 уточнил, что подобное регулируется нормами докторской тайны, что исключает нарушение прав пациента при обработке ПД в подобном контексте.

Личная информация человека подлежит передаче без его согласия в письменном виде в ряде исключительных ситуаций, которые определены действующим законодательством (ч. 4 ст. 13 закона № 323-ФЗ):

• если человек из-за своего физического состояния не может выразить согласие, но ему требуется оказать медпомощь;
• по официальному запросу правоохранительных и следственных органов, а также ФСИН;
• при наличии угроз распространения инфекций или отравлений, носящих характер массовости;
• органам внутренних дел, если имеются предпосылки полагать, что вред состоянию человека был нанесен из-за какого-либо преступления или иного действия, выходящего за рамки законодательства;
• для учета и мониторинга в системе ОМС;
• чтобы контролировать качество и безопасность медуслуг, оказанных гражданину.

В каких ситуация разрешения пациента не обойтись:

• в случае предоставление пациенту услуг за деньги;
• для направления сведений о состоянии здоровья сторонним гражданам, которых пациент добровольно указал при подписании согласия на медицинское вмешательство (ч. 5 ст. 19 закона № 323-ФЗ);
• при передаче сведений или документации посредством открытых каналов связи (эл. почта или всемирная сеть), как при консультировании, оказываемом в дистанционном формате;
• при передаче ПД (трансграничная передача) в учреждения, расположенные в государствах, которые не являются членами Конвенции Совета Европы по защите физлиц при автоматизированной обработке ПД.

Значительное количество организаций сферы медицины предпочитают перестраховаться и запрашивают письменное согласие на обработку персональных данных у всех обратившихся за помощью людей в самом начале – при оформлении медкарты.

Проведем бесплатный аудит вашей организации или ИП на предмет соблюдения новых требований закона «О персональных данных»

Сделаем заключение на соблюдение требований Роскомнадзора

Запишитесь на бесплатный аудит

Заполните форму и мы свяжемся с вами

Нажимая кнопку "Отправить", я соглашаюсь на обработку моих персональных данных в соотв. с ФЗ от 27.07.2006 №152-ФЗ на условиях и для целей, определенных Согласием на обработку персональных данных

Нажимая кнопку "Отправить", я соглашаюсь на получение рассылки в соотв. с ФЗ от 13.03.2006 №38-ФЗ на условиях и для целей, определенных Политикой конфиденциальности

Отправить

Как работать с ПД пациентов?

Следуя нормам действующего законодательства, медицинское учреждение, выступающее в роли Оператора, должно реализовать комплекс мер для обеспечения защищенности информации. Именно их соблюдение будет оценивать РКН при возможной проверке. Основные обязанности изложены в далее указанных нормативно-правовых актах:

• Приказ Минздрава РФ от 24.12.2018 № 911н;
• Приказ ФСТЭК РФ от 11.02.2013 № 17;
• ФЗ № 152-ФЗ «О персональных данных».

К ключевым мерам по охране конфиденциальности данных пациентов следует отнести:

• Информационная система медорганизации должна пройти процедуру сертификации, подтверждая ее следование требованиям защищенности, и проходить регулярную проверку эффективности.
• Все применяемые средства по охране сведений, включая криптографию, должны иметь соответствующую сертификацию.
• На всех устройствах, где хранится информация, обязательно установлено антивирусное ПО.
• Допуск к сведениям пациентов строго ограничен как в отношении электронных носителей, так и бумажных, включая тщательную организацию работы регистратуры.
• Обеспечивается корректное и безопасное соединение с ЕГИСЗ.
• В учреждении разработан и утвержден нужный пакет документации, включая положение об обработке ПД и политику конфиденциальности.
• Приказом руководителя (главного врача) определен сотрудник, несущий ответственность за работу с ПД посетителей клиники/медкомпании.
• Определен перечень работников, имеющих допуск к конфиденциальным данным о пациентах.
• Для всех новых пациентов предусмотрена форма согласия на обработку ПД, заполняемая при обращении в медорганизацию.

Исполнение этих базовых положений поможет клинике избежать претензий со стороны РКН и уменьшить в разы риски наложения санкций за несоблюдение законодательства № 152-ФЗ.

Санкции за некорректную работу с ПД обратившихся за медпомощью граждан

Если у учреждения нет письменного согласие на обработку данных или имело место быть нарушение при его оформлении, то организация может столкнуться со следующими видами последствий:

• Для должностных лиц — от 100 до 300 тыс. руб.;
• Для организаций — от 300 до 500 тыс. руб.

Повторное нарушение тех же требований:

• Для должностных лиц — от 300 до 500 тыс. руб.;
• Для индивидуальных предпринимателей — от 500 тыс. до 1 млн руб.;
• Для организаций — от 1 до 1,5 млн руб.

Указанные санкции установлены ч. 2 ст. 13.11 КоАП РФ.

Чтобы впредь исполнять все требования законодательства в части обработки ПД пациентов, оставляйте заявку на этой странице на скачивание полезных материалов от наших юристов!