Защита персональных данных в медицинских учреждениях

Содержание

Персональные данные пациентов в медицинских организациях: требования к обработке и ответственность

Защита персональных данных в медицинских учреждениях

→ Статьи → Персональные данные пациентов в медицинских организациях: требования к обработке и ответственность

Медицинские организации в силу законодательства являются операторами персональных данных своих пациентов.

Они принимают непосредственное участие в сборе, систематизации, накоплении, хранении, уточнении, обновлении, изменении, распространении и уничтожении такой информации.

Разберемся, какие требования предъявляет законодательство к медицинской организации в качестве оператора персональных данных и какие виды ответственности предусмотрены за их нарушение.

Персональные данные представляют собой любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ)).

Медицинская организация, получая персональные данные от пациента (субъекта персональных данных), например, при его первоначальном поступлении или заключении договора на оказание медицинских услуг, а также в процессе лечения, приобретает статус оператора. У нее возникают определенные обязанности в части работы с полученными персональными данными.

Данные обязанности регулируются следующими нормативными актами:
– Конституция РФ;
– КоАП РФ, УК РФ, ГПК РФ;
– упомянутый выше Закон № 152-ФЗ;
– Федеральный закон от 27.07.

2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
– Федеральный закон от 21.11.

2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ» (далее — Закон № 323-ФЗ);
– другие положения и нормативно-правовые акты.

Важно!
Оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (ст. 3 Закона № 152-ФЗ).

Персональные данные пациента и врачебная тайна

Сразу отметим, что информация о состоянии здоровья пациента относится к специальным категориям персональных данных, обработка которых не допускается, за исключением случаев, когда (ст.

10 Закона № 152-ФЗ):
– пациент дал согласие в письменной форме на обработку своих персональных данных;
– пациент сам сделал персональные данные общедоступными;
– обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов пациента либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия пациента невозможно;
– обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну.

Информация, являющаяся врачебной тайной, — это отдельный подвид персональных данных.

Она представляет собой сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья, диагнозе и иные сведения, полученные при его медицинском обследовании и лечении (п. 1 ст.

13 Закона № 323-ФЗ). Ее разглашение не допускается (п. 2 ст. 13 Закона № 323-ФЗ), за исключением отдельных случаев, о которых мы расскажем ниже.

Обработка персональных данных

Обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение (ст. 3 Закона № 152-ФЗ).

Как было сказано выше, перед получением от пациента информации медицинская организация должна запросить у него согласие на обработку персональных данных (ст. 6, ст. 10 Закона № 152-ФЗ).

Пациент вправе полностью или частично отказаться от предоставления согласия на обработку персональных данных. Поэтому медицинской организации следует правильно подходить к виду и объему запрашиваемой информации. В обработку нужно запрашивать только те сведения, которые отвечают ее целям. Сведения не должны быть избыточными (ст. 5 Закона № 152-ФЗ).

При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе следующую информацию:
– подтверждение факта обработки персональных данных;
– правовые основания и цели обработки;
– цели и применяемые способы обработки;
– наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании положений законодательства;
– обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен положениями законодательства;
– сроки обработки персональных данных, в том числе сроки их хранения;
– порядок осуществления субъектом персональных данных прав, предусмотренных Законом № 152-ФЗ;
– информацию об осуществленной или о предполагаемой трансграничной передаче персональных данных;
– наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
– иные сведения, предусмотренные Законом № 152-ФЗ или другими федеральными законами.

Согласие на обработку персональных данных может быть получено в электронной либо в письменной форме.

При этом согласие на обработку биометрических данных необходимо получить от пациента именно в письменной форме (ст. 11 Закона № 152-ФЗ), так как они представляют собой сведения, которые характеризуют физиологические и биологические особенности на основании которых можно установить личность.

Бумажный документ должен содержать следующие реквизиты (п. 4 ст. 9 Закона № 152-ФЗ):
– фамилию, имя, отчество, адрес пациента, номер основного документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе;
– Ф.И.О.

, адрес представителя пациента, номер основного документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя пациента (при получении согласия от него);
– наименование медицинской организации;
– цель обработки персональных данных;
– перечень персональных данных, на обработку которых пациент дает согласие;
– наименование или Ф.И.О. и адрес лица, осуществляющего обработку персональных данных по поручению медицинской организации, если обработка будет поручена такому лицу;
– перечень действий с персональными данными, на совершение которых дается согласие, и общее описание используемых способов обработки персональных данных;
– срок, в течение которого действует согласие пациента, а также способ отзыва такого согласия, если иное не установлено законодательством;
– подпись пациента.

Также обратите внимание, что при заключении договора с пациентом медицинская организация обязана предоставить ему информацию о номере своей лицензии, сроке ее действия и выдавшем ее органе. Такую информацию можно включить непосредственно в договор либо прописать в нем ссылку на источник откуда можно получить информацию.

При заключении договора на сложные и дорогостоящие услуги пациенту следует предложить под роспись ознакомиться с описанием этих услуг, способами их оказания, возможными последствиями и т. д.

От пациента обязательно потребуется получить информированное добровольное согласие на медицинское вмешательство (на анестезиологическое обеспечение медицинского вмешательства, на оперативное вмешательство, в том числе переливание крови и ее компонентов, и т. д.).

Его следует оформить в письменном виде – записью в истории болезни, заверенной подписью самого пациента (его законного представителя) либо его отдельной распиской или заявлением.

С 1 января 2018 года согласие также можно оформить в виде электронного документа, подписанного усиленной квалифицированной или простой электронной подписью пациента (его законного представителя) и электронной подписью медицинского работника.

Если состояние пациента не позволяет ему выразить свою волю, а медицинское вмешательство неотложно, вопрос о его проведении решают консилиум или лечащий врач.

Медицинское вмешательство без информированного добровольного согласия также возможно в отношении пациентов:
– страдающих заболеваниями, представляющими опасность для окружающих;
– страдающих тяжелыми психическими расстройствами;
– совершивших общественно опасные деяния (преступления);
– направленных на судебно-медицинскую и (или) судебно-психиатрическую экспертизы.

Предоставление персональных пациента данных третьим лицам

Законодательство запрещает предоставлять третьим лицам и распространять персональные данные без согласия пациента (ст. 7 Закона № 152-ФЗ).

Под предоставлением в данном случае понимаются действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц, а под распространением — действия, направленные на раскрытие персональных данных неопределенному кругу лиц (ст. 2 Закона № 152-ФЗ).

Вместе с тем, Закон № 323-ФЗ допускает разглашение сведений, составляющих врачебную тайну, с письменного согласия пациента или его законного представителя другим гражданам, в том числе должностным лицам, в целях медицинского обследования и лечения пациента, проведения научных исследований, их опубликования в научных изданиях, использования в учебном процессе и в иных целях (п. 2 ст. 13 Закона № 323-ФЗ).

Кроме того, предоставление сведений, составляющих врачебную тайну, без согласия пациента или его законного представителя возможно (п. 3 ст.

13 Закона № 323-ФЗ):
– в целях проведения медицинского обследования и лечения пациента, который в результате своего состояния не способен выразить свою волю;
– при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
– по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органов прокуратуры в связи с осуществлением прокурорского надзора, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля;
– в целях осуществления уполномоченными федеральными органами исполнительной власти контроля за исполнением лицами, признанными больными наркоманией либо потребляющими наркотические средства или психотропные вещества без назначения врача либо новые потенциально опасные психоактивные вещества, возложенной на них при назначении административного наказания судом обязанности пройти лечение от наркомании, диагностику, профилактические мероприятия и (или) медицинскую реабилитацию;
– в случае оказания медицинской помощи несовершеннолетнему для информирования одного из его родителей или иного законного представителя;
– в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий;
– в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов, кадровых служб и военно-врачебных (врачебно-летных) комиссий;
– при обмене информацией между медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства РФ о персональных данных;
– в целях осуществления учета и контроля в системе обязательного социального страхования.

Защита персональных данных в медицинских учреждениях

Защита персональных данных в медицинских учреждениях

Каждый пациент, который попадает на приём в клинику, подписывает согласие на обработку конфиденциальной информации. Это формальность или реальное требование защиты персональных данных в медицинских учреждениях?

Каждый пациент, который попадает на приём в частную клинику, подписывает не только договор об оказании услуг, согласие на медицинское вмешательство, но и согласие на обработку персональных данных в медицинском учреждении.

По факту без этого разрешения клиника не может получить сведения о состоянии здоровья, занести их в карту или информационную систему, хранить в регистратуре и базе данных и т.д.

Поэтому при регистрации нового клиента в программе учёта пациентов ему обязательно выдаётся на подпись такой стандартный документ.

Персональные данные

Что такое конфиденциальная информация? Это Ф.И.О., пол, адрес регистрации, номера паспорта, СНИЛС, страхового полиса, данные об обращении за медицинской помощью и состоянии здоровья. То есть все те сведения, которые нужны клинике для работы с пациентом.

Конфиденциальная информация по закону может передаваться третьим лицам только с согласия пациента. Есть некоторые исключения из правил (например, согласие не требуется, если пациент не в состоянии изъявить свою волю, если её запрашивают следователи, суд, или есть угроза массового распространения заболевания), но это всего несколько пунктов для особых ситуаций.

Что такое обработка персональных данных? Это любые операции с информацией: сбор, хранение, использование, изменение, уничтожение, передача.

Это происходит в любой клинике: заполняются электронные истории болезни в МИС, врачи собирают анамнез здоровья и жизни, получают результаты лабораторных исследований, составляют реесты услуг для оплаты страховыми компаниями — всё это примеры обработки персональных данных в медицинской организации.

Зачем нужна защита персональных данных в медицинских учреждениях?

  1. Это регламентировано законодательством.
  2. В России действует ряд законов, указов и постановлений о персональных данных, о защите информации, об её обработке в информационных системах. Их требования должны соблюдаться любым медицинским центром. И получение согласия на работу с личной информацией — одно из таких требований.

    Оно берётся с пациента один раз, когда заводится амбулаторная карта или больной поступает в стационар. Тем не менее, при большом потоке клиентов, важно быстро составить документ, распечатать и заполнить реквизиты.

    С этим отлично справляются современные информационные системы. Например, в программных решениях «Первого БИТа» можно создать шаблон любого договора и соглашения, который будет заполняться автоматически при регистрации клиента в базе.

    Далее документ распечатывается и даётся на подпись пациенту.

  3. Персональные данные в медицинских учреждениях — клад для мошенников.
  4. Как утверждают независимые эксперты, на чёрном рынке ценность медицинской информации в 10 раз выше финансовой.

    Полученные незаконным методом сведения о здоровье могут использоваться в ущерб пациентов. Это и обманы пенсионеров, когда им пытаются продать препараты-пустышки за баснословные суммы.

    Или желание выручить деньги с угрозами обнародования диагнозов у известных личностей и другие случаи.

Как защищаются персональные данные пациентов в медицинском учреждении?

Для защиты персональных данных в медицинском учреждении используются технические и организационные методы.

Во-первых, все клиники подпадают под жёсткие требования технической защиты информации и должны использовать довольно широкий набор мер безопасности. Они обязательно проходят проверки и аттестации ФСТЭК на соответствие системы защиты нормативным требованиям.

Во-вторых, работать с персональными данными должен узкий круг специалистов. Например, в отраслевых решениях «Первого БИТа» руководитель может установить доступ к личной информации пациентов определённым пользователям программы, остальным эти сведения будут недоступны.

Ограничение доступа касается не только персонала клиник, где работа автоматизирована. Ведь никто не застрахован от утечки данных с участием недобросовестных сотрудников.

В-третьих, кроме технического ограничения, порядок доступа нужно регламентировать и прописывать в должностной инструкции. Это позволит избежать утечки информации, в том числе из-за халатности персонала. Пример такой ситуации: в одной из больниц республики Коми пациенту выдали бланки, распечатанные на листах с паспортными данными, сведениями о полисах других пациентов.

Организационные методы безопасности также касаются условий хранения медицинских карт — место должно быть обособленным, и недоступным для посторонних.

Таким образом, защита персональных данных в клинике — это целый комплекс средств для безопасного использования и хранения личной информации клиентов. Давая согласие на их обработку, пациент доверяет учреждению не только своё здоровье, но и гражданское благополучие.

Защита персональных данных в медицинских учреждениях | Персональные данные пациентов в медицинских организациях

Защита персональных данных в медицинских учреждениях

Обоснование необходимости электронной безопасности очевидно – сейчас весь медицинский учет проводится через оргтехнику. Использование компьютерного оборудования для обработки персональных данных пациентов и медперсонала – чрезвычайно необходимая мера в российских реалиях.

Первыми на эту схему перешли дорогие частные клиники, но с удешевлением компьютеров и увеличением бюджетных ассигнований электронный учет появился даже в районных поликлиниках отдаленных районов Крайнего Севера. Соответственно, понадобилось внедрять новейшие методики безопасности.

 

Законодательство

Первичная правовая база по организации безопасности и защиты персональной информации в медицинских учреждениях, выполнение с этой целью всех защитных мероприятий основываются на законе № 152-ФЗ, принятом 27.07.2006. Общие юридические основания о врачебной тайне прописаны в «Основах… об охране здоровья…». В этом документе содержатся основополагающие требования по защите персональных данных. 

Новую интегрированную систему защиты персональных данных в медучреждениях законодательство требует стандартизировать по последним сертификатам электронной безопасности. Порядок проверок и список лиц, уполномоченных следить за выполнением данного положения, определяется специальными документами Минздрава, муниципальных властей и надзорных органов юстиции.

Основные нормативы, которыми руководствуются медучреждения при создании системы защиты ПД:

  • ФЗ № 149 об информации, информтехнологиях и способах защиты этой информации;
  • Указ Президента № 188, в котором перечислены сведения, отнесенные к конфиденциальным; 
  • Основы законодательства РФ – статьи 31 и 61, описывающие права пациентов, в том числе связанные с обработкой ПДн с применением автоматизированных средств;
  • ФЗ № 5487 об охране здоровья граждан на территории РФ;
  • Приказ № 29н Минздрава РФ о медицинских формах учета и отчетности.

Перечень неполный, но любой теоретически возможный иной способ сбора персональных данных априори опирается на приведенные выше нормативы.

Правовые документы по обработке ПДн медперсонала

Кроме вышеперечисленных документов, в медорганизациях применяются нормативные акты по организационному обеспечению защиты ПД медперсонала. К этим документам относятся:

  • ТК РФ – гл. 14;
  • Постановление Госкомстата РФ № 1 от 05.01.2004 г., касающееся утверждения и оформления унифицированных форм учета документов по оформлению трудовых отношений, оплате труда.

Сроки обработки данных установлены приказом «О введении в действие положения о медицинском архиве лечебного учреждения».

Законодательные базы для медперсонала и пациентов в целом схожи функционально.

Разница на практике возникает в момент, когда необходимо обеспечить конфиденциальность: большая часть ответственности за правильную и безопасную работу с персональными данными лежит на уполномоченных лицах из персонала клиник, амбулаторий, санаториев и иных медицинских учреждений, непосредственно отвечающих за сбор информации у пациентов и персонала. Их список, а также положения о сборе, хранении, обработке и передаче ПД должны быть разработаны в каждом медучреждении и доведены до персонала, ответственного за работу с персональными данными пациентов и сотрудников организации.

Специфика обработки персональных данных в медучреждениях

Первое, что должно учитываться оператором (медорганизацией) при обработке персональных данных в медицинских учреждениях, – исключительная роль этической составляющей. Медучреждения обязаны хранить данные о здоровье каждого пациента, не допускать огласки такой информации. Многие болезни считаются социально табуированными и не подлежат разглашению по базовым правилам медицинской этики.

Анализ персональных данных пациентов зиждется на принципе, согласно которому здоровье пациента является чрезвычайно конфиденциальной категорией информации. Какое-либо своевольное изъятие данных категорически воспрещается.

Исключение делается только в ситуации чрезвычайных обстоятельств. Например, речь может идти о защите самой жизни или здоровья пациента либо третьих лиц.

Также возможность изымать персональные данные без согласия фигуранта допускается в случае полной физической невозможности заручиться таким разрешением (пациент недееспособен, недоступен для заверения своей воли, либо речь идет об уже умершем человеке).

В любом случае к работе с персональной информацией допускаются исключительно медработники, имеющие соответствующую квалификацию и аттестованные по правилам Минздрава.

Первым техническим моментом организации обработки ПДн пациентов и персонала медучреждений является выполнение требований статьи 31 Основ законодательства об охране здоровья.

Пациент должен быть обязательно проинформирован о состоянии здоровья его организма (общий анамнез, симптомы заболеваний, предлагаемая терапия, все возможные риски, побочные эффекты, дополнительные финансовые траты, сроки проведения процедур, коррекция рабочего времени по недееспособности и т. д.). Причем эта информация должна быть подана в форме, доступной для понимания пациента. Это также касается лиц с ограниченными физическими возможностями. Если необходимо – дополнительно назначается квалифицированный переводчик. Это полностью пересекается со 143-й статьей закона о персональных данных – требованием, определяющим право на доступ к ПД как пациента, так и медперсонала.  

Обязанности медучреждений как операторов ПДн

Медучреждения в качестве операторов при сборе ПД обязаны предоставить каждому пациенту следующую информацию (если такое требование им предъявляется), которая касается ПДн:

  • подтверждение факта их обработки, ее цели;
  • способы, применяемые оператором во время обработки ПДн;
  • сведения о лицах, получивших доступ к этой информации и имеющих право на доступ к ней;
  • список ПДн, необходимых для обработки в медучреждении, источник таких данных;
  • срок, на протяжении которого эта информация будет обрабатываться, включая сроки ее хранения;
  • данные о последствиях юридического характера для субъекта во время обработки ПДн;
  • предоставление разъяснений о последствиях отказа пациента от предоставления своих ПДн, если это будет установлено как обязанность субъекта соответствующим федеральным законом.

При получении ПДн не от их субъекта оператор перед началом их обработки должен ознакомить пациента со следующей информацией:

  • название (ФИО), адрес оператора, его представителя, предоставившего ПДн;
  • цели их обработки, правовые аспекты таких действий;
  • кому могут быть доступны ПДн (кто может пользоваться этими данными);
  • права, установленные законом в отношении субъекта персональных данных.

Права пациентов

Обеспечение безопасности ПДн посетителей частных и муниципальных медицинских заведений регламентируется не только техническими средствами. Любые данные, подпадающие под определение врачебной тайны, могут быть оглашены только с согласия пациента.

Исключения описаны в статье 61 «Основ… об охране здоровья». Это требование полностью дублирует шестая статья ФЗ «О персональных данных». ПД должны передаваться только по защищенным каналам связи, которые позволяют уберечь эту информацию от утечки.

Пациенты имеют право в отношении своих ПДн требовать их блокирования, уточнения, уничтожения, если эта информация является неполной, неактуальной, неверной, полученной незаконным путем, не нужна для заявленных целей обработки.

Также пациент имеет право на защиту своих прав, предусмотренных законодательством в отношении обработки, передачи, хранения персональных данных.

По запросу доступ к ПДн может быть предоставлен законному представителю пациента (ГК РФ ст. 26) – родителям, усыновителям, попечителям.

Законный представитель имеет право выполнять от имени носителя ПДн любые действия, а также определять лиц, которым будет разглашаться информация, являющаяся врачебной тайной пациента. Лицо, которое имеет право получить такие данные, не имеет никаких прав вступать в гражданские правоотношения от лица пациента.

В случае необходимости предоставления носителю ПДн срочной медпомощи, его согласие на обработку этой информации не требуется (в случае техногенных катастроф, стихийных бедствий, при реальной угрозе его жизни и здоровью).

Техническая часть

Необходимая оргтехника подбирается и поставляется в соответствии с рекомендациями контролирующих органов. Сбор данных, проводимый согласно законодательно установленным методикам, должен быть защищен на всех этапах.

Спецификой работы медучреждений является сравнительно большая база по сравнению с муниципальными органами специализированных терминалов, связанных с хранением данных, передачей через Интернет, по локальным сетям различных типов.

Поэтому критически важно иметь идеально настроенные защитные барьеры и своевременно обновлять сертифицированное ПО, пользоваться эффективной антивирусной защитой.

Список разрешенных программных средств регулярно обновляет Минздрав и локальные отделы кибербезопасности.

Размещение информсистем, приобретение, установка, работа специального оборудования, а также охрана таких помещений должны строиться на обеспечении полной сохранности носителей, на которых размещены ПДн, средств защиты такой информации.

Организация работы с ПДн должна предусматривать все необходимые меры, исключающие возможность несанкционированного проникновения или нахождения в таких помещениях посторонних лиц.

Защита персональных данных пациента

Защита персональных данных в медицинских учреждениях
Сегодня всё чаще появляются судебные дела, возбуждённые в отношении медицинских работников за разглашение врачебной тайны и персональных данных. Анализ контрольно-надзорных мероприятий Роскомнадзора за 2015 год показывает, что каждая вторая проверка выявляет нарушения.

Обычно факты нарушения происходят из-за тотального непонимания медработниками законодательных требований по работе с персональной информацией и врачебной тайной.

Задача руководителя вести разъяснительную работу со всем персоналом медорганизации: с врачами, медсёстрами, санитарами, сотрудниками регистратуры и другими.

Чтобы помочь руководителям и работникам медицинских организаций разобраться в этом вопросе, «Академия профессионального развития» провела вебинар «Законодательные требования к организации работы с персональными данными пациента и врачебной тайной в медицинских организациях: формирование внутреннего документооборота». Экспертом выступила юрист Юлия Павлова

Защита персональных данных пациента регулируется Федеральным законом от 21 ноября 2011 года N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и Федеральным законом от 27 июля 2006 года N 152-ФЗ «О персональных данных». Также защита персональных данных пациента – обязательный элемент профстандартов.

Часто в правоприменительной практике юристы сталкиваются с тем, что средний медицинский персонал недооценивает необходимость сохранения врачебной тайны и персональной информации. В медицинском сообществе сложилось мнение, что это этическая норма. Да, правовой основой врачебной тайны является этика. Но эта этическая норма охраняется законом.

–  Врачебная тайна – это не просто право пациента, это принцип охраны здоровья, – утверждает Павлова.

Врачебную тайну нельзя разглашать даже после смерти пациента. Смерть гражданина не влечёт прекращения режима конфиденциальности информации о состоянии его здоровья, фактах обращения за медицинской помощью, лечении и так далее. Сведения, полученные при обследовании и лечении, в том числе личного характера — врачебная тайна.

Охрана врачебной тайны после смерти — международная норма. Родственники получают копии медицинской документации, если пациент при жизни выразил согласие.

Суды признают правомерными отказы медицинских учреждений в предоставлении сведений, составляющих врачебную тайну, по запросам адвокатов. Даже если пациент заключил соглашение с адвокатом об оказании юридической помощи, адвокат не вправе требовать предоставления информации, составляющей врачебную тайну.

С письменного согласия гражданина или его законного представителя допускается разглашение врачебной тайны в целях:

  • медицинского обследования и лечения пациента;
  • проведения научных исследований, их опубликования в научных изданиях;
  • использования в учебном процессе и в иных целях.

Законный представитель и представитель отличаются друг от друга в правовом смысле. Законные представители — родители, усыновители, опекуны и попечители. С 15 лет человек сам даёт согласие на отказ от медицинского вмешательства, и родители получают сведения о состоянии здоровья ребёнка только с его письменного согласия.

Павлова отмечает, что сейчас очень важен документооборот. Он является доказательной базой. Если согласие на обработку персональных данных подписывает ненадлежащий субъект — это пустая бумага.

Если человек не может подписать какой-то документ, то составляется акт, который подтвердит этот факт.

10 оснований для разглашения врачебной тайны

Предоставление сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя допускается:

  1. для проведения медицинского обследования и лечения человека, который не в состоянии выразить свою волю;
  2. при угрозе эпидемий, массовых отравлений и поражений;
  3. по запросу:
  • органов дознания и следствия, прокуратуры или суда во время расследования дела;
  • органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и контролем поведения условно осуждённого или освобождённого условно-досрочно;
  • органов исполнительной власти для контроля прохождения больными наркоманией лечения от наркомании и реабилитации, возложенного на них при назначении судом административного наказания.
  1. при оказании медпомощи несовершеннолетнему до 15 лет (больному наркоманией – до 16 лет) для информирования родителей или других законных представителей;
  2. для информирования полиции о поступлении пациента, вред здоровья которому причинён в результате противоправных действий;

Это не только право и законное основание для разглашения врачебной тайны, но ещё и обязанность медицинской организации.

  1. для проведения военно-врачебной экспертизы по запросам военных комиссариатов, военно-врачебных комиссий;
  2. для расследования профессионального заболевания или несчастного случая на производстве, в образовательной организации, в физкультурно-спортивной организации и во время спортивных соревнований;
  3. при обмене информацией медицинскими организациями для оказания медицинской помощи;
  4. для контроля в системе обязательного социального страхования;

– Когда эксперты запрашивают медицинскую документацию, то это законно, если это происходит в рамках осуществления ими контроля качества, – поясняет Павлова. – Поэтому это абсолютно нормально.

Вот раньше для этого не было основания и непонятно было. Ну, был подзаконный акт, который это регулировал, а это не может регулироваться никаким приказом Минздрава.

Это должна быть норма Федерального закона. 

  1. для контроля качества и безопасности медицинской деятельности.

Юлия Павлова советует не спешить предоставлять сведения. Сначала нужно удостовериться, что это сотрудники Росздравнадзора, которые имеют право получать сведения, проводить проверки, запрашивать медицинскую документацию и так далее. Сомневаетесь — спросите у юриста.

Требуется ли согласие пациента на видеонаблюдение в медорганизации?

Согласно Разъяснениям Роскомнадзора «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки» посетители публичных мест заранее извещаются администрацией о возможной фото- и видеосъёмке объявлениями и другими визуальными предупреждениями. При соблюдении указанных условий согласие пациента на фото- и видеосъёмку не требуется.

Системы аудио- и видеонаблюдения устанавливают для усиления безопасности и сохранности материальных ценностей и дорогостоящего оборудования, для внутреннего контроля качества и безопасности медицинской деятельности. Главное, чтобы эта информация не вышла за пределы медорганизации.

Как ведётся обработка персональных данных?

Обработка персональной информации производится только с согласия пациента и включает в себя:

  • сбор, запись и систематизацию;
  • накопление, хранение и уточнение – обновление или изменение;
  • использование и передачу;
  • обезличивание, блокирование и уничтожение.

Исключения:

  • обработка персональных данных для защиты жизни, здоровья или иных жизненно важных интересов пациента, если получение его согласия невозможно;
  • обработка персональных данных в медико-профилактических целях, в целях установления диагноза, оказания медицинских услуг при условии, что работу осуществляет профессиональный медицинский работник, который обязан сохранять врачебную тайну.

Отказ от подписания согласия на обработку персональных данных не может служить основанием для отказа от оказания медицинской помощи!

Сообщать такие сведения – право, а не обязанность пациента. Медицинская организация не может требовать представления этих сведений в принудительном порядке или отказывать пациенту в оказании медицинской помощи и заключении договора оказания медицинских услуг.

Что делать, если пациент требует уничтожить медицинскую карту?

В статье 79 закона «Об основах охраны здоровья граждан в Российской Федерации» говорится об обязанности медицинской организации вести медицинскую документацию в установленном порядке и предоставлять отчётность по видам, формам, в сроки и в объёме, которые установлены уполномоченным федеральным органом исполнительной власти.

Сведения в медицинской карте необходимы для составления отчётности. Медкарту не уничтожают до истечения утверждённых сроков хранения, даже если этого требует пациент.

Как быть готовым к проверке Роскомнадзора?

Проверки подразделяются на плановые и внеплановые.

Внеплановые проверки проводятся, когда выявляются нарушения в действиях организации, осуществляющей обработку персональных данных, и когда в Роскомнадзор поступают обращения, жалобы граждан. О внеплановой проверке Роскомнадзор предупреждает за 24 часа до начала проверки.

Предупреждение о плановой проверке приходит максимум за 3 рабочих дня до даты её начала. Такие проверки проводятся по утверждённому на год плану, поэтому к ним можно и нужно заранее готовиться.

Чтобы узнать, когда ждать плановой проверки, зайдите на сайт Управления Роскомнадзора вашего региона и просмотрите план деятельности управления на текущий год.

Алгоритм подготовки к проверке:

  1. Проведите внутренний аудит для анализа процессов обработки персональной информации в учреждении.

В процессе аудита определяются:

  • перечень информационных систем, в которых обрабатываются данные;
  • цели обработки;

Для ЛПУ – это выполнение требований законодательства в сфере здравоохранения и оказание медицинских услуг населению.

  • в ЛПУ обрабатываются: ФИО, дата рождения, адрес, семейное положение, место работы и сведения о состоянии здоровья;
  • категории субъектов, данные которых обрабатываются в ЛПУ: пациенты и сотрудники учреждения.
  1. Назначьте ответственных за организацию обработки и за обеспечение безопасности персональной информации.

Как правило, в лечебно-профилактических учреждениях за организацию обработки персональных данных отвечает заместитель главного врача или сам главный врач, за обеспечение безопасности персональных данных – системный администратор или программист.

  1. Подготовьте необходимые документы.

В пакет документов обязательно входит Политика в отношении обработки персональных данных. Этот документ содержит в себе принципы и условия обработки персональной информации пациентов и сотрудников учреждения.

Политика размещается в общедоступном месте или на сайте ЛПУ, чтобы каждый мог с ней ознакомиться. Также подготавливаются приказы, положения, инструкции, которые позволяют выполнить все требования законодательства.

  1. Подайте уведомление о намерении осуществлять обработку персональных данных в Роскомнадзор.

В случае каких-либо изменений подаётся информационное письмо с перечнем этих изменений. Уведомление можно отправить в электронном виде через сайт Роскомнадзора. Распечатанную версию необходимо отправить по почте в Управление Роскомнадзора вашего региона. В течение 30 дней учреждение вносится в реестр операторов персональных данных.

Представители структуры обязательно ознакомятся с формой согласия на обработку персональных данных, в которой указывается их перечень, цель обработки и сроки её прекращения.

Если организация передаёт данные третьему лицу, в форме указывается согласие субъекта на поручение обработки такому лицу.

В договоре, заключённом с третьим лицом, отдельным пунктом прописываются условия конфиденциальности.

Роскомнадзор также обратит внимание на выполнение Положения о локализации хранения персональных данных. Информация о местонахождении баз данных должна быть указана в Политике и уведомлении или в информационном письме, если уведомление уже было отправлено.

Ещё одним важным требованием является ознакомление сотрудников с положениями законодательства РФ о персональных данных и локальными актами учреждения по вопросам обработки персональных данных. Во время проверки Роскомнадзор потребует предоставить соответствующие формы ознакомления.

Если во время проверки выявляются нарушения, то Роскомнадзор оформляет акт о выявлении нарушений с предписанием об их устранении и передаёт информацию в суд.

Приглашаем вас принять участие в Международной конференции для частных клиник «Инновационные подходы к удовлетворению ожиданий современных пациентов», где вы получите инструменты для создания положительного имиджа вашей клиники, что повысит спрос на медицинские услуги и увеличит прибыль. Сделайте первый шаг на пути развития вашей клиники.

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.

    -->