По действующему законодательству медицинские учреждения — это операторы персональных данных пациентов. Они участвуют в сборе, группировке, хранении, изменении, уничтожении личных данных пациентов, которые к ним обращаются. Настоящее законодательство содержит в себе ряд требований, которые предъявляются к медицинским учреждениям по защите данных пациентов, а при несоблюдении этих требований предполагает ответственность.
Согласно ФЗ-152, частные и государственные медицинские организации являются операторами персональных данных пациентов.
Что включают персональные данные пациентов?
Персональные данные пациента — это любые сведения, которые прямо или косвенно относятся к субъекту этих данных. Медицинское учреждение при получении персональных данных от пациента наделяется статусом оператора. На него с этого момента возлагаются некоторые обязанности по части работы с данными пациентов.
Персональные данные пациентов подразделяются на три вида:
- Специальные. Это сведения о состоянии здоровья.
- Сведения, характеризующие особенности индивида, в соответствии с которыми устанавливается личность пациента.
Какие законы регулируют использование персональных данных пациентов в медицинских учреждениях
После получения персональных данных на медицинскую организацию накладывается ряд обязательств по работе с ними. Указанные обязательства находятся под регулированием ряда нормативных актов, в число которых включаются:
- Конституция России;
- ФЗ № 152;
- КоАП России, УК России, ГПК России;
- ФЗ № 149 от 27.07.2006 года;
- ФЗ № 323 от 21.11.2011 года;
- иные положения и акты.
Персональные данные пациентов и врачебная тайна
Законодательство определяет, что к врачебной тайне относятся все данные о факте обращения лица за медпомощью, состоянии его здоровья, заболеваниях, другие сведения, которые были получены при лечении и обследовании. Разглашение данных сведений запрещено, но исключение составляют некоторые ситуации, которые прописаны в законодательстве.
Закон о персональных данных пациента устанавливает, что передача этих данных допускается при письменном согласии лица. Они могут быть переданы третьим лицам, должностных лицам для обследования, лечения и других действий. Кроме того, не требуется письменное согласие гражданина в следующих ситуациях:
- при необходимости лечения и обследования пациента, не имеющего возможности выразить собственную волю;
- при угрозе распространения заболеваний, передающихся воздушно-капельным путем, массовых поражений и отравлений;
- по запросу государственных структур в ситуациях, установленных в законодательстве;
- для контроля за наркоманами, в отношении которых был вынесен судебный приговор о принудительной терапии;
- при оказании медпомощи лицам, не достигшим совершеннолетия;
- при информировании ОВД в установленных законом ситуациях;
- при необходимости выполнения военно-экспертной оценки;
- при расследовании несчастного случая;
- при обмене сведениями между медицинскими учреждениями;
- при контроле и учете в системе ФОМС;
- для контроля безопасности и качества работы медицинского учреждения.
Термин «врачебная тайна» не говорит о том, что обязанность по защите данных пациентов от распространения возлагается только на врача. Она распространяется на весь персонал медицинской организации, в которую обратилось физическое лицо, а также на лиц, которые получили эти сведения.
К врачебной тайне относятся как сведения медицинской характеристики, так и иные сведения о пациенте, например, его местонахождение, обращение за медпомощью, итоги обследования и др.
Обработка персональных данных пациентов — особенности
Расшифровка понятия обработки персональных данных пациентов содержится в п. 3 ст. 3 ФЗ «О персональных данных». В соответствии с данным документом под обработкой подразумевается любое действие, которое исполняется с персональными данными пациентов как с применением средств автоматизации, так и без них. Прежде чем приступить к обработке персональных данных пациента, медицинская организация должна получить письменное разрешение от субъекта этих данных.
Пациент имеет право полностью или частично отказаться от предоставления согласия на обработку персональных данных. Из-за этого важно, чтобы медицинское учреждение правильно подходило к количеству и виду запрашиваемых сведений. В обработку следует запрашивать лишь те данные, которые отвечают её задачам. Не стоит запрашивать избыточное количество данных.
Когда от субъекта персональных данных поступила просьба, то оператор обязан при сборе предоставить следующие сведения:
- подтверждающие документы о факте обработки данных;
- основания и задачи обработки;
- используемые методы обработки;
- наименование оператора, место его нахождения, данные о лицах, имеющих доступ к персональным данным;
- какие персональные данные обрабатываются, где они были получены;
- время обработки данных, время их хранения;
- особенности процедуры исполнения субъектом прав, которые указаны в Законе № 152;
- сведения о проведенной или о возможной передаче персональных данных;
- сведения о лице, проводящем обработку персональных данных;
- другие данные, которые установлены ФЗ № 152 или иным ФЗ.
Согласие на обработку личных данных может быть получено как в письменном, так и в электронном формате. Обратим внимание на то, что согласие на обработку биометрических данных должно быть получено только письменно.
Обработка не всегда возможна только с письменного согласия пациента. Случаются ситуации, когда обработка данных пациентов вероятна без согласия при наличии законных оснований. Обработка персональных данных пациентов без согласия субъекта возможна в ряде ситуаций:
- с целью защиты жизни, здоровья, других жизненно важных интересов физического лица или иных лиц тогда, когда получение согласия невозможно;
- в медицинских профилактических целях для определения диагноза, предоставления медицинских услуг лицом, который профессионально занимается медицинской деятельностью и обязан сохранять врачебную тайну.
Защита данных пациента — как соответствовать нормам ФЗ-152?
Персональные данные пациентов в медицинских организациях находятся под защитой ФЗ-152. Чтобы не попасть под санкции этой статьи, медицинская организация должна точно соблюдать её требования. В число основных и обязательных шагов, которые должно соблюдать каждое медицинское учреждение, входят ряд следующих:
- Создать условия для защиты персональных данных пациентов, исключив их попадание в руки третьих лиц. Это возможно, установив антивирус на все электронные носители, предупредив доступ к сведениям о пациентах посторонними людьми.
- Подготовить пакет документов: соглашение об обработке персональных данных, политику конфиденциальности, модель угроз.
- Определить одного человеку, который будет нести ответственность за обработку персональных данных пациентов.
- Подготовить список людей, у которых будет доступ к данным пациентов.
- Предоставить сведения Роскомнадзору о сборе и обработке персональных данных пациентов.
- Разработать форму согласия от пациентов на обработку их персональных данных.
- Обязательно получать согласие от каждого субъекта, в отношении которого проводится сбор персональных данных.
Соблюдая эти требования, медицинская организация исключит вероятность попадания под санкции статьи ФЗ-152. Это убережет учреждение от вероятных неприятностей в будущем.
Подробнее узнать о том, как клинике выполнить требования по защите персональных данных пациентов можно из видео:
