Как только медицинское учреждение получает согласие пациента на обработку персональных данных, оно принимает на себя ответственность за их хранение и передачу. Как регулируется этот вопрос на законодательном уровне? Как правильно организовать хранение сведений и не допустить их утечки? Поговорим об этом подробнее.

Понятие о персональных данных

С 2006 года в России действует Федеральный закон №152-ФЗ. Он определяет понятие персональных данных (ПД), описывает правила их обработки и объясняет условия хранения. Роскомнадзор контролирует деятельность операторов (в частности, медицинских учреждений) на предмет соблюдения законодательства. Кроме него контроль осуществляют Федеральная служба по техническому и экспортному контролю (ФСТЭК) и Федеральная Служба Безопасности (ФСБ).

Согласно ФЗ №152, персональные данные — это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). ПД в медицине — это сведения о пациенте, его ФИО, возраст, адрес проживания, антропометрические данные, информация о состоянии здоровья, результатах анализов и обследований и т. д. Все это медучреждение должно хранить, защищать, соблюдая при этом врачебную тайну.

Обработка ПД пациентов

Любые действия, совершаемые с информацией о человеке (сбор, передача, хранение, уничтожение и многие другие) называются обработкой персональных данных. Этот процесс можно разделить на несколько этапов:

— собрать и записать сведения,

— систематизировать полученные данные,

— организовать их хранение в базе,

— по потребности уточнить детали,

— уничтожить информацию, утратившую актуальность. 

Обработка персональных данных в медицинских учреждениях происходит по следующим принципам:

— Все действия должны совершаться в соответствии с порядком, установленным в ФЗ №152.

— Если нет установленной цели, сбор сведений производить нельзя.

— Оператор не должен допускать избыточность информации: объем должен в точности соответствовать поставленной цели.

— Срок хранения сведений устанавливается законом. Также он может определяться договором с владельцем ПД. 

— Данные должны быть актуальными. В случае изменений оператор обязан немедленно внести их в имеющиеся ПД.

Передача персональных данных пациентов

Записавшись на прием к врачу, посетитель клиники заполняет и подписывает ряд бумаг, в том числе согласие на обработку своих ПД. В форме он может указать лица, которым будет передана информация о его состоянии здоровья и другие сведения, являющиеся врачебной тайной. Помимо представителя пациента доступ к медицинским персональным данным имеют врачи, диагносты и другие сотрудники клиники.

Впрочем, сведения о состоянии здоровья могут быть сообщены третьим лицам и без письменного согласия пациента в ряде исключительных случаев. Вот некоторые из них:

— пациент не в состоянии выразить свою волю в силу текущего состояния или заболевания;

— при угрозе распространения болезни, массовых отравлений или иных поражений;

— есть запрос от госструктур в ситуациях, определенных законом;

— помощь требуется пациенту, не достигшему совершеннолетия;

— когда проводится расследование несчастного случая, повлекшего ущерб здоровью;

— по запросу другого медицинского учреждения и т. д.

Далеко не все пациенты знают, что у них есть право ознакомиться со своими персональными данными. Если говорить конкретнее, то человек может подать запрос в медицинское учреждение и узнать результаты своего обследования, диагноз, предлагаемое лечение и т. д. Та же информация может быть сообщена его законному представителю. Например, если ребенок проходит лечение в стационаре, его родители имеют право подать письменный запрос о состоянии здоровья маленького пациента. Не позднее 30 дней с момента подачи медицинское учреждение обязано предоставить медицинские документы, копии или выписки из них.

Право на получение персональных данных пациента, предоставляемое ему или его законному представителю, основано на Федеральном законе «Об основах охраны здоровья граждан в Российской Федерации».

Защита персональных данных в медицинских клиниках

1 февраля 2021 году вступил в силу Приказ Минздрава Российской Федерации о переходе на электронный документооборот. По замыслу инициаторов этого нововведения, ЭДО позволит снизить нагрузку на врачей и медицинский персонал. 

То, что электронный документооборот действительно упрощает и оптимизирует работу медицинского персонала любого уровня, убедительно доказывает использование сервиса F.Doc. Использование Безбумажного офиса позволяет обеспечить дополнительную защиту персональных данных пациентов медицинских учреждений.

Как именно будут храниться сведения, в настоящий момент определяет главный врач. Он выбирает, с какой информационной системой будет работать медучреждение, следит за уровнем защиты сведений, несет ответственность за утечку персональных данных. Нужно понимать, что техническое оснащение больниц, поликлиник, диспансеров, фельдшерских пунктов и частных клиник имеет очень разный уровень. Поэтому где-то до сих пор врачи заполняют бумажные карточки, которые хранятся в регистратуре, а где-то профайл пациента находится в облачном хранилище, надежно защищенном от любого вторжения.

Все медицинские учреждения регулярно проходят проверку Роскомнадзора. Ее цель — убедиться, что организация исполняет закон о персональных данных пациента, обработка и хранение конфиденциальной информации соответствует установленным требованиям.

Основные меры по защите персональных данных в медицине:

— Информационная система, которую использует клиника, должна соответствовать требованиям безопасности. Для того чтобы убедиться в этом, проводят аттестацию и оценивают эффективность.

— У средств защиты информации должен быть сертификат.

— Если для обработки и передачи данных используются электронные устройства, на них должен быть установлен антивирус. 

— Список сотрудников медучреждения, имеющих доступ к ПД пациентов, утверждается приказом. Предприняты все необходимые меры, чтобы исключить доступ посторонних лиц.

— Регистратура должна быть организована надежно, хранение бумажных носителей соответствует всем требованиям закона о персональных данных пациента.

— Персонал ознакомлен с положением об обработке ПД, соблюдает политику конфиденциальности. Есть ответственное лицо, утвержденное приказом главного врача. 

— При первом обращении в медучреждение пациенту выдается форма согласия на обработку персональных данных, которую он заполняет и заверяет своей личной подписью. Если речь идет о несовершеннолетнем или недееспособном, форму заполняет и подписывает его законный представитель/опекун.

Ответственность за нарушение правил работы с ПД

Конфиденциальность в медицине имеет огромное значение. Что касается персональных данных пациентов, то их обработка и хранение регламентируются законом. А нарушение правил работы с ПД наказывается штрафами.

— Если клиника не получила письменное согласие на обработку данных или оформила его с нарушениями, денежное взыскание составит для должностных лиц — от 100 до 300 тысяч рублей; для организаций — от 300 до 500 тысяч рублей.

— При повторном аналогичном нарушении, выявленном при проверке Роскомнадзором, назначается штраф для должностных лиц — от 300 до 500 тысяч рублей; для ИП — от 500 тысяч до 1 миллиона рублей; для организаций — от 1 до 1,5 миллионов рублей.

— Невыполнение требований по сохранности персональных данных при их обработке без использования средств автоматизации, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении данных, при отсутствии признаков уголовно наказуемого деяния наказывается штрафом от 700 до 2000 рублей для граждан; от 4 000 до 10 000 рублей для должностных лиц; от 25 000 до 50 000 рублей для юридических лиц.

Как медицинское учреждение может снизить риски штрафов

Положение о персональных данных пациента до сих пор вызывает затруднения в работе сотрудников медицинских организаций. Не всегда понятно, что именно и от кого нужно защищать, как правильно обрабатывать, каким образом, кому и в какой срок передавать. Особенно трудно приходится специалистам, которые работают с бумажными носителями информации: документы приходят в негодность, ветшают, теряются, порой врачи в силу объема работы не успевают заполнить все бумаги, а это приводит к штрафам и взысканиям в ходе проверки контролирующими организациями.

Как минимизировать риски?

— Не собирать избыточную информацию о пациенте, если она не требуется для обработки.

— Своевременно уведомлять Роскомнадзор и следить за актуальностью уведомлений.

— Политика обработки персональных данных должна быть опубликована на сайте, а также на информационном стенде в медорганизации. 

— Не рекомендуется размещать на портале клиники персональные данные ее сотрудников. Если публикуются сведения о врачах, младшем медицинском персонале, административном составе, должны быть собраны согласия об обработке ПД персонала.