Как работать с персональными данными пациентов в 2024 году: рекомендации для медучреждений
Организации, оказывающие услуги в сфере медицины, каждый день сталкиваются с необходимостью сбора, обработки и хранения ПД обратившихся к ним граждан. В этом материале рассмотрим, как правильно наладить взаимодействие с конфиденциальной информацией, чтобы обеспечить безопасность данных пациентов и избежать штрафных санкций со стороны РКН.
Персональные данные и медицинская тайна
Под ПД понимается любая информация, которая позволяет напрямую или опосредованно провести идентификацию личности отдельной персоны. Медицинские учреждения, как правило, соприкасаются с двумя категориями таких данных:
- Общие сведения — это фамилия, имя и отчество, основные данные паспорта, адрес регистрации, СНИЛС.
- Данные о здоровье человека.
Ко второй категории относятся следующие данные:
- факт обращения за медуслугами;
- итоги проведенных обследований, включая анализы;
- диагноз;
- иные нюансы физического состояния и т.д.
Указанные сведения защищены врачебной тайной, предполагающей особые правила взаимодействия с конфиденциальными данными обратившихся за медпомощью граждан и ограничение доступа к ней для сторонних лиц (п. 1 ст. 13 закона № 323-ФЗ).
Важно отметить, что обязанность следованию режима профессиональной докторской тайны возложена не только на врачей, но и на иных сотрудников медицинского учреждения, имеющих непосредственный к личным данным граждан, включая администраторов, работающих в регистратуре, и лаборантов.
В каких случаях придется запросить согласие пациента на обработку ПД?
Пациент обладает правом на охрану любых данных, ставших известными медучреждению.
В то же врем сведения из специальной категории, такие как данные о состоянии организма человека, результаты диагностики или врачебное заключение, могут быть обработаны и переданы без согласия пациента, если цель подобного — оказать медпомощь (п. 4 ч. 2 ст. 10 закона № 152-ФЗ).
Например, врач поликлиники может передать медкарту человека в краевое медучреждение без необходимости запрашивать дополнительное разрешение. Конституционный суд в своем определении № 1176-О от 16.07.2013 уточнил, что подобное регулируется нормами докторской тайны, что исключает нарушение прав пациента при обработке ПД в подобном контексте.
Личная информация человека подлежит передаче без его согласия в письменном виде в ряде исключительных ситуаций, которые определены действующим законодательством (ч. 4 ст. 13 закона № 323-ФЗ):
- если человек из-за своего физического состояния не может выразить согласие, но ему требуется оказать медпомощь;
- по официальному запросу правоохранительных и следственных органов, а также ФСИН;
- при наличии угроз распространения инфекций или отравлений, носящих характер массовости;
- органам внутренних дел, если имеются предпосылки полагать, что вред состоянию человека был нанесен из-за какого-либо преступления или иного действия, выходящего за рамки законодательства;
- для учета и мониторинга в системе ОМС;
- чтобы контролировать качество и безопасность медуслуг, оказанных гражданину.
В каких ситуация разрешения пациента не обойтись:
- в случае предоставление пациенту услуг за деньги;
- для направления сведений о состоянии здоровья сторонним гражданам, которых пациент добровольно указал при подписании согласия на медицинское вмешательство (ч. 5 ст. 19 закона № 323-ФЗ);
- при передаче сведений или документации посредством открытых каналов связи (эл. почта или всемирная сеть), как при консультировании, оказываемом в дистанционном формате;
- при передаче ПД (трансграничная передача) в учреждения, расположенные в государствах, которые не являются членами Конвенции Совета Европы по защите физлиц при автоматизированной обработке ПД.
Значительное количество организаций сферы медицины предпочитают перестраховаться и запрашивают письменное согласие на обработку персональных данных у всех обратившихся за помощью людей в самом начале – при оформлении медкарты.
Как работать с ПД пациентов?
Следуя нормам действующего законодательства, медицинское учреждение, выступающее в роли Оператора, должно реализовать комплекс мер для обеспечения защищенности информации. Именно их соблюдение будет оценивать РКН при возможной проверке. Основные обязанности изложены в далее указанных нормативно-правовых актах:
- Приказ Минздрава РФ от 24.12.2018 № 911н;
- Приказ ФСТЭК РФ от 11.02.2013 № 17;
- ФЗ № 152-ФЗ «О персональных данных».
К ключевым мерам по охране конфиденциальности данных пациентов следует отнести:
- Информационная система медорганизации должна пройти процедуру сертификации, подтверждая ее следование требованиям защищенности, и проходить регулярную проверку эффективности.
- Все применяемые средства по охране сведений, включая криптографию, должны иметь соответствующую сертификацию.
- На всех устройствах, где хранится информация, обязательно установлено антивирусное ПО.
- Допуск к сведениям пациентов строго ограничен как в отношении электронных носителей, так и бумажных, включая тщательную организацию работы регистратуры.
- Обеспечивается корректное и безопасное соединение с ЕГИСЗ.
- В учреждении разработан и утвержден нужный пакет документации, включая положение об обработке ПД и политику конфиденциальности.
- Приказом руководителя (главного врача) определен сотрудник, несущий ответственность за работу с ПД посетителей клиники/медкомпании.
- Определен перечень работников, имеющих допуск к конфиденциальным данным о пациентах.
- Для всех новых пациентов предусмотрена форма согласия на обработку ПД, заполняемая при обращении в медорганизацию.
Исполнение этих базовых положений поможет клинике избежать претензий со стороны РКН и уменьшить в разы риски наложения санкций за несоблюдение законодательства № 152-ФЗ.
Санкции за некорректную работу с ПД обратившихся за медпомощью граждан
Если у учреждения нет письменного согласие на обработку данных или имело место быть нарушение при его оформлении, то организация может столкнуться со следующими видами последствий:
- Для должностных лиц — от 100 до 300 тыс. руб.;
- Для организаций — от 300 до 500 тыс. руб.
Повторное нарушение тех же требований:
- Для должностных лиц — от 300 до 500 тыс. руб.;
- Для индивидуальных предпринимателей — от 500 тыс. до 1 млн руб.;
- Для организаций — от 1 до 1,5 млн руб.
Указанные санкции установлены ч. 2 ст. 13.11 КоАП РФ.
Чтобы впредь исполнять все требования законодательства в части обработки ПД пациентов, оставляйте заявку на этой странице на скачивание полезных материалов от наших юристов!
Наш менеджер вас проконсультирует