Персональные данные и врачебная тайна
Персональные данные — это любые сведения, которые прямо или косвенно помогают идентифицировать конкретного человека. В руки медцентров обычно попадает информация двух видов:
общие персданные пациента — ФИО, номер и серия паспорта, адрес регистрации, СНИЛС;
сведения о состоянии здоровья.
Ко второй группе можно отнести, например,
факт обращения субъекта за медицинской помощью;
итоги обследования и лабораторных анализов;
диагноз;
особенности здоровья, физического состояния и т.п.
Перечисленные сведения находятся под защитой врачебной тайны — особым режимом обращения с личной информацией пациента с ограниченным доступом для третьих лиц (п. 1 ст. 13 закона № 323-ФЗ). Соблюдение врачебной тайны — один из основных принципов охраны здоровья в РФ.
Интересно: режим врачебной тайны распространяется не только на лечащих докторов, но и на весь персонал клиники, который взаимодействует с личной информацией: от администраторов регистратуры до лаборантов.
Как коррелируются понятия «врачебной тайны» и «защиты персональных данных»;
в каких случаях достаточно электронного согласия пациента, а когда необходимо только письменное;
за что штрафует медорганизации Роскомнадзор —
по этим и другим вопросам вас проконсультируют эксперты АО «Консалтинг Онлайн».
Когда требуется согласие пациента на обработку персональных данных
Пациент имеет право на защиту любой информации, которая стала известна о нем медицинской организации.
Однако сведения из специальной категории (состояние здоровья, результаты анализов, диагноз) могут передаваться и обрабатываться без согласия субъекта, если цель такой обработки — оказание медицинских услуг (п. 4 ч. 2 ст. 10 закона № 152-ФЗ).
Например, из городской поликлиники врач вправе направить медкарту гражданина в областную больницу, не спрашивая у гражданина дополнительного разрешения. В определении № 1176-О от 16.07.2013 Конституционный суд разъяснил, что конфиденциальность информации в таких случаях обеспечивается врачебной тайной, поэтому действия поликлиники нельзя рассматривать как нарушение обработки персданных.
Также персональные данные пациента могут передаваться без письменного согласия (ч. 4 ст. 13 закона № 323-ФЗ):
если вследствие состояния здоровья человек не в силах выразить волю, но ему необходима срочная медпомощь;
по запросу компетентных органов (дознание, следствие, ФСИН);
при угрозе распространения инфекционных заболеваний и массовых отправлений;
органам внутренних дел, если есть подозрение, что вред здоровью причинен в результате противоправных действий;
для учета и контроля в системе ОМС;
для контроля безопасности и качества медицинской помощи.
Когда письменное согласие пациента обязательно:
при оказании платных медицинских услуг;
для передачи информации о состоянии здоровья третьим лицам, указанным самим пациентом в информированном добровольном согласии на медицинское вмешательство (ч. 5 ст. 19 закона № 323-ФЗ);
если передача данных (документов) осуществляет по открытым каналам связи (электронная почта, Интернет), например, если врач проводит дистанционные онлайн-консультации;
при отправке сведений за рубеж (трансграничная передача информации), в клиники, которые находятся в странах, не являющихся участниками Конвенции Совета Европы по защите физических лиц при автоматизированной обработке персональных данных.
Большинство медицинских учреждений перестраховываются и просят письменное согласие на обработку персональных данных от всех пациентов, сразу же при оформлении медкарты.
Такой документ оформляется в свободной форме. Примерный образец представлен ниже.
Юридически грамотно разработать форму «Согласия пациента на обработку персональных данных», в соответствии с актуальными требования законодательства, помогут квалифицированные эксперты АО «Консалтинг Онлайн».
Как организовать защиту персональных данных пациентов
С точки зрения законодательства по защите персональных данных физлиц, медицинская компания должна принять определенные меры как Оператор. Именно их соответствие будет проверять Роскомнадзор в случае визита. Требования прописаны в следующих нормативных актах:
Основные меры по защите личной информации:
Информационная система медицинской организации должна иметь подтверждение соответствия требованиям безопасности — аттестацию, оценку эффективности.
Средства защиты информации, в том числе криптографической, обязательно сертифицированы.
На всех электронных носителях установлен антивирус.
Исключен доступ к сведениям о пациентах посторонними людьми, в том числе медицинским документам на бумажных носителях, надежная организация регистратуры.
Надлежащим образом ведется взаимодействие с Единой государственной информационной системой в сфере здравоохранения (ЕГИСЗ).
На предприятии есть необходимый пакет локальных актов: положение об обработке персональных данных, политика конфиденциальности.
Приказом руководителем (главного врача) назначено ответственное лицо за обработку персональных данных пациентов.
Утвержден приказом список сотрудников, имеющих доступ к данным пациентов.
Разработана форма согласия от пациентов на обработку их персональных данных, и она заполняется всякий раз, когда в клинику обращается новый пациент.
Соблюдение этих простых правил убережет медицинское учреждение от претензий Роскомнадзора и снизит вероятность санкций за нарушение закона № 152-ФЗ.
Штрафы за неверную обработку личной информации пациентов в 2024 грозят такие:
| Нарушение | Размер штрафа, руб. |
1. | Клиника не получила письменное согласие на обработку данных или оформила его с нарушениями (ч. 2 ст. 13.11 КоАП) | |
2. | Повторное аналогичное нарушение | Для должностных лиц — от 300 до 500 тыс. руб.; Для ИП — от 500 тыс. до 1 млн руб.; Для организаций — от 1 до 1,5 млн руб.
|
Сотрудничество с юристами «Консалтинг Онлайн», компетентными в вопросах хранения, обработки, передачи персональных данных — залог успешной работы медицинского учреждения без лишнего внимания контролирующих органов.
Получите консультацию и готовые «дорожные карты» с пошаговым алгоритмом действий для вашего бизнеса — по ссылке.
Как не нарваться на штрафы, работая с персональными данными?
Бесплатная памятка для юридических лиц
Забирайте памятку по соблюдению законодательства о персональных данных бесплатно!
Оставьте контакты, вышлем памятку на ваш e-mail:
Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: LjN8KApQu
