Как работать с персональными данными пациентов в 2024: советы для медицинской организации

Персональные данные и врачебная тайна

Персональные данные — это любые сведения, которые прямо или косвенно помогают идентифицировать конкретного человека. В руки медцентров обычно попадает информация двух видов:

• общие персданные пациента — ФИО, номер и серия паспорта, адрес регистрации, СНИЛС; 

• сведения о состоянии здоровья.

Ко второй группе можно отнести, например, 

• факт обращения субъекта за медицинской помощью; 

• итоги обследования и лабораторных анализов;

• диагноз;

• особенности здоровья, физического состояния и т.п.

Перечисленные сведения находятся под защитой врачебной тайны — особым режимом обращения с личной информацией пациента с ограниченным доступом для третьих лиц (п. 1 ст. 13 закона № 323-ФЗ). Соблюдение врачебной тайны — один из основных принципов охраны здоровья в РФ.

Интересно: режим врачебной тайны распространяется не только на лечащих докторов, но и на весь персонал клиники, который взаимодействует с личной информацией: от администраторов регистратуры до лаборантов.

Когда требуется согласие пациента на обработку персональных данных

Пациент имеет право на защиту любой информации, которая стала известна о нем медицинской организации. 

Например, из городской поликлиники врач вправе направить медкарту гражданина в областную больницу, не спрашивая у гражданина дополнительного разрешения. В определении № 1176-О от 16.07.2013 Конституционный суд разъяснил, что конфиденциальность информации в таких случаях обеспечивается врачебной тайной, поэтому действия поликлиники нельзя рассматривать как нарушение обработки персданных.

Также персональные данные пациента могут передаваться без письменного согласия (ч. 4 ст. 13 закона № 323-ФЗ):

• если вследствие состояния здоровья человек не в силах выразить волю, но ему необходима срочная медпомощь;

• по запросу компетентных органов (дознание, следствие, ФСИН);

• при угрозе распространения инфекционных заболеваний и массовых отправлений;

• органам внутренних дел, если есть подозрение, что вред здоровью причинен в результате противоправных действий;

• для учета и контроля в системе ОМС;

• для контроля безопасности и качества медицинской помощи.

Когда письменное согласие пациента обязательно:

• при оказании платных медицинских услуг;

• для передачи информации о состоянии здоровья третьим лицам, указанным самим пациентом в информированном добровольном согласии на медицинское вмешательство (ч. 5 ст. 19 закона № 323-ФЗ);

• если передача данных (документов) осуществляет по открытым каналам связи (электронная почта, Интернет), например, если врач проводит дистанционные онлайн-консультации;

• при отправке сведений за рубеж (трансграничная передача информации), в клиники, которые находятся в странах, не являющихся участниками Конвенции Совета Европы по защите физических лиц при автоматизированной обработке персональных данных.

Большинство медицинских учреждений перестраховываются и просят письменное согласие на обработку персональных данных от всех пациентов, сразу же при оформлении медкарты.

Такой документ оформляется в свободной форме. Примерный образец представлен ниже.

Как организовать защиту персональных данных пациентов

С точки зрения законодательства по защите персональных данных физлиц, медицинская компания должна принять определенные меры как Оператор. Именно их соответствие будет проверять Роскомнадзор в случае визита. Требования прописаны в следующих нормативных актах:

• Приказ Минздрава от 24.12.2018 № 911н;

• Приказ ФСТЭК от 11.02.2013 № 17;

• закон от 27.07.2006 №152-ФЗ о персональных данных.

Основные меры по защите личной информации:

1. Информационная система медицинской организации должна иметь подтверждение соответствия требованиям безопасности — аттестацию, оценку эффективности.

2. Средства защиты информации, в том числе криптографической, обязательно сертифицированы.

3. На всех электронных носителях установлен антивирус.

4. Исключен доступ к сведениям о пациентах посторонними людьми, в том числе медицинским документам на бумажных носителях, надежная организация регистратуры.

5. Надлежащим образом ведется взаимодействие с Единой государственной информационной системой в сфере здравоохранения (ЕГИСЗ).

6. На предприятии есть необходимый пакет локальных актов: положение об обработке персональных данных, политика конфиденциальности.

7. Приказом руководителем (главного врача) назначено ответственное лицо за обработку персональных данных пациентов.

8.  Утвержден приказом список сотрудников, имеющих доступ к данным пациентов.

9. Разработана форма согласия от пациентов на обработку их персональных данных, и она заполняется всякий раз, когда в клинику обращается новый пациент.

Штрафы за неверную обработку личной информации пациентов в 2024 грозят такие:

Сотрудничество с юристами «Консалтинг Онлайн», компетентными в вопросах хранения, обработки, передачи персональных данных — залог успешной работы медицинского учреждения без лишнего внимания контролирующих органов. 

Получите консультацию и готовые «дорожные карты» с пошаговым алгоритмом действий для вашего бизнеса — по ссылке. 

Как не нарваться на штрафы, работая с персональными данными?

Бесплатная памятка для юридических лиц

Забирайте памятку по соблюдению законодательства о персональных данных бесплатно!

Оставьте контакты, вышлем памятку на ваш e-mail:

Имя^*

E-mail^*

Телефон^*

Отправить

Принимаю оферту и даю согласие по перс.данным

Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: LjN8KApQu