Как работать с персональными данными пациентов в 2024: советы для медицинской организации

Ежедневно медицинские организации получают, обрабатывают, хранят персональные данные своих пациентов. В статье расскажем, как организовать работу с личной информацией, чтобы защитить пациентов от утечки, а себя — от штрафов Роскомнадзора.
Как работать с персональными данными пациентов в 2024: советы для медицинской организации
Иллюстрация: freepik/freepik

Персональные данные и врачебная тайна

Персональные данные — это любые сведения, которые прямо или косвенно помогают идентифицировать конкретного человека. В руки медцентров обычно попадает информация двух видов:

  • общие персданные пациента — ФИО, номер и серия паспорта, адрес регистрации, СНИЛС; 

  • сведения о состоянии здоровья.

Ко второй группе можно отнести, например, 

  • факт обращения субъекта за медицинской помощью; 

  • итоги обследования и лабораторных анализов;

  • диагноз;

  • особенности здоровья, физического состояния и т.п.

Перечисленные сведения находятся под защитой врачебной тайны — особым режимом обращения с личной информацией пациента с ограниченным доступом для третьих лиц (п. 1 ст. 13 закона № 323-ФЗ). Соблюдение врачебной тайны — один из основных принципов охраны здоровья в РФ.

Интересно: режим врачебной тайны распространяется не только на лечащих докторов, но и на весь персонал клиники, который взаимодействует с личной информацией: от администраторов регистратуры до лаборантов.

  • Как коррелируются понятия «врачебной тайны» и «защиты персональных данных»; 

  • в каких случаях достаточно электронного согласия пациента, а когда необходимо только письменное;

  • за что штрафует медорганизации Роскомнадзор — 

по этим и другим вопросам вас проконсультируют эксперты АО «Консалтинг Онлайн».

Когда требуется согласие пациента на обработку персональных данных

Пациент имеет право на защиту любой информации, которая стала известна о нем медицинской организации. 

Однако сведения из специальной категории (состояние здоровья, результаты анализов, диагноз) могут передаваться и обрабатываться без согласия субъекта, если цель такой обработки — оказание медицинских услуг (п. 4 ч. 2 ст. 10 закона № 152-ФЗ).

Например, из городской поликлиники врач вправе направить медкарту гражданина в областную больницу, не спрашивая у гражданина дополнительного разрешения. В определении № 1176-О от 16.07.2013 Конституционный суд разъяснил, что конфиденциальность информации в таких случаях обеспечивается врачебной тайной, поэтому действия поликлиники нельзя рассматривать как нарушение обработки персданных.

Также персональные данные пациента могут передаваться без письменного согласия (ч. 4 ст. 13 закона № 323-ФЗ):

  • если вследствие состояния здоровья человек не в силах выразить волю, но ему необходима срочная медпомощь;

  • по запросу компетентных органов (дознание, следствие, ФСИН);

  • при угрозе распространения инфекционных заболеваний и массовых отправлений;

  • органам внутренних дел, если есть подозрение, что вред здоровью причинен в результате противоправных действий;

  • для учета и контроля в системе ОМС;

  • для контроля безопасности и качества медицинской помощи.

Когда письменное согласие пациента обязательно:

  • при оказании платных медицинских услуг;

  • для передачи информации о состоянии здоровья третьим лицам, указанным самим пациентом в информированном добровольном согласии на медицинское вмешательство (ч. 5 ст. 19 закона № 323-ФЗ);

  • если передача данных (документов) осуществляет по открытым каналам связи (электронная почта, Интернет), например, если врач проводит дистанционные онлайн-консультации;

  • при отправке сведений за рубеж (трансграничная передача информации), в клиники, которые находятся в странах, не являющихся участниками Конвенции Совета Европы по защите физических лиц при автоматизированной обработке персональных данных.

Большинство медицинских учреждений перестраховываются и просят письменное согласие на обработку персональных данных от всех пациентов, сразу же при оформлении медкарты.

Такой документ оформляется в свободной форме. Примерный образец представлен ниже.

Юридически грамотно разработать форму «Согласия пациента на обработку персональных данных», в соответствии с актуальными требования законодательства, помогут квалифицированные эксперты АО «Консалтинг Онлайн»

Как организовать защиту персональных данных пациентов

С точки зрения законодательства по защите персональных данных физлиц, медицинская компания должна принять определенные меры как Оператор. Именно их соответствие будет проверять Роскомнадзор в случае визита. Требования прописаны в следующих нормативных актах:

Основные меры по защите личной информации:

  1. Информационная система медицинской организации должна иметь подтверждение соответствия требованиям безопасности — аттестацию, оценку эффективности.

  2. Средства защиты информации, в том числе криптографической, обязательно сертифицированы.

  3. На всех электронных носителях установлен антивирус.

  4. Исключен доступ к сведениям о пациентах посторонними людьми, в том числе медицинским документам на бумажных носителях, надежная организация регистратуры.

  5. Надлежащим образом ведется взаимодействие с Единой государственной информационной системой в сфере здравоохранения (ЕГИСЗ).

  6. На предприятии есть необходимый пакет локальных актов: положение об обработке персональных данных, политика конфиденциальности.

  7. Приказом руководителем (главного врача) назначено ответственное лицо за обработку персональных данных пациентов.

  8.  Утвержден приказом список сотрудников, имеющих доступ к данным пациентов.

  9. Разработана форма согласия от пациентов на обработку их персональных данных, и она заполняется всякий раз, когда в клинику обращается новый пациент.

Соблюдение этих простых правил убережет медицинское учреждение от претензий Роскомнадзора и снизит вероятность санкций за нарушение закона № 152-ФЗ

Штрафы за неверную обработку личной информации пациентов в 2024 грозят такие:

Нарушение

Размер штрафа, руб.

1.

Клиника не получила письменное согласие на обработку данных или оформила его с нарушениями (ч. 2 ст. 13.11 КоАП)

  • Для должностных лиц — от 100 до 300 тыс. руб.;

  • Для организаций — от 300 до 500 тыс. руб.

2.

Повторное аналогичное нарушение

  • Для должностных лиц — от 300 до 500 тыс. руб.;

  • Для ИП — от 500 тыс. до 1 млн руб.;

  • Для организаций — от 1 до 1,5 млн руб. 

Сотрудничество с юристами «Консалтинг Онлайн», компетентными в вопросах хранения, обработки, передачи персональных данных — залог успешной работы медицинского учреждения без лишнего внимания контролирующих органов. 

Получите консультацию и готовые «дорожные карты» с пошаговым алгоритмом действий для вашего бизнеса — по ссылке

Бесплатный чек-лист обязательных процедур, необходимых для соблюдения законодательства по персональным данным

Организуйте в своей компании работу с персональными данными согласно требованиям закона

Заполните форму, вышлем чек-лист нам на e-mail::

Принимаю оферту и даю согласие на сбор персональных данных и их распространение

Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: LjN8KApQu

Начать дискуссию