Персональные данные представляют собой любую информацию, относящеюся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных) (п.1 ст. 3 Федеральный закон от 27.07.
2006 № 152-ФЗ «О персональных данных»). Медицинская организация обязана обеспечивать право пациента на защиту персональных данных в целях защиты его права на неприкосновенность частной жизни, личной и семейной тайны (ст.
22-24 Конституции РФ).
В данной статье будет рассмотрено, что включает в себя право на защиту персональных данных.
Правовые основы защиты персональных данных
- Конституция РФ;
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных);
- Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» (далее — Закон об основах охраны здоровья);
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее — Закон о защите информации);
- Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации»;
- иные нормативно-правовые акты.
Система защиты персональных данных
Медицинская организация, являясь оператором персональных данных, обязана обеспечить надежную защиту получаемых в ее распоряжение данных о пациенте. Персональные данные, обрабатываемые в медицине, должны быть защищены на очень высоком уровне защиты, что обеспечивается путем создания специальной системы персональных данных.
В соответствии со ст.
78 Закона об основах охраны здоровья граждан медицинские организации имеют право создавать локальные информационные системы, содержащие данные о пациентах и об оказываемых им медицинских услугах, с соблюдением установленных законодательством Российской Федерации требований о защите персональных данных и соблюдением врачебной тайны.
Создание систем защиты персональных данных регламентируется Законом о персональных данных и принятым в соответствии с ним Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее — Постановление Правительства РФ № 1119).
В соответствии с данным Постановлением правительства система защиты персональных включает в себя: организационную защиту (журналы, приказы и пр.) и техническую защиту (при автоматизированном способе обработки персональных данных).
Выбор средств защиты информации для системы защиты персональных данных осуществляется в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю (п. 4 Постановления Правительства РФ № 1119).
При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных.
Медицинские организации могут самостоятельно выполнить мероприятия по обеспечению защиты персональных данных, но более надежным является прибегнуть к помощи специалистов. Такими знатоками являются организации, имеющие лицензию на техническую защиту конфиденциальной информации и специализирующиеся на создании и внедрении систем защиты персональных данных.
Соотношение понятий персональные данные и врачебная тайна
Врачебная тайна представляет собой сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении. Соблюдение врачебной тайны является одним из основных принципов охраны здоровья (ст. 4 Закона об основах охраны здоровья).
Врачебная тайна является особым режимом информации с ограниченным доступом. Если сравнивать понятия «персональные данные» и «врачебная тайна», то последнее является более узким понятием. Врачебная тайна выступает видом персональных данных, который становится известным медицинской организации при оказании медицинских услуг.
Однако пациент имеет право на защиту любой информации о нем, которая стала известна медицинской организации.
Конфиденциальность персональных данных
Медицинские организации, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия пациента, если иное не предусмотрено федеральным законом (ст. 7 Закона о персональных данных).
Получение согласие пациента на обработку персональных данных
Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных действующим законодательством.
Однако, не всегда требуется согласие пациента на обработку персональных данных.
К таким данным, например, относятся паспортные данные, предоставленные пациентом в договоре на оказание медицинских услуг, данные о национальной принадлежности, политических взглядах, религиозных убеждениях.
Следует отметить, что действующее законодательство четко предписывает получать письменное согласие пациента на обработку биометрических данных (ст. 11 Закона о защите персональных данных).
К биометрическим данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. В частности, к таким данным относятся рентгенологические данные.
Содержание согласия на обработку персональных данных
Согласие в письменной форме пациента на обработку его персональных данных должно включать в себя, в частности:
- фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
- фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
- цель обработки персональных данных;
- перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
- иные сведения, указанные в п.4 ст. 9 Закона о персональных данных.
Подпишись на рассылку и получай первым самую свежую и актуальную информацию от Факультета Медицинского Права. Отправляя заявку, вы соглашаетесь с условиями обработки и использования персональных данных.
Предоставление персональных данных пациента третьим лицам
В ст. 2 Закона о защите информации под предоставлением информации понимаются действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц.
Закон об основах охраны здоровья разрешает медицинской организации разглашать другим лицам сведения, составляющие врачебную тайну (иные персональные данные пациента) только с письменного согласия пациента (его законного представителя).
Разглашение сведений, составляющих врачебную тайну, другим гражданам, в том числе должностным лицам, в целях медицинского обследования и лечения пациента, проведения научных исследований, их опубликования в научных изданиях, использования в учебном процессе и в иных целях без согласия пациента также не допускается (ст. 13 Закона об основах охраны здоровья).
Адвокатские запросы на получение персональных данных пациента
На практике часто бывают случаи, когда адвокаты направляют в медицинские организации адвокатские запросы (не имея согласия пациента на разглашение врачебной тайны) на получение данных о конкретном человеке: о факте обращения, нахождения, диагнозе и прочее.
В таких запросах адвокаты ссылаются на п.3. ст.6 Федерального закона от 31 мая 2002 г. № 63-ФЗ «Об адвокатской деятельности и адвокатуре в Российской Федерации», в соответствии с которым организации обязаны выдавать адвокату запрошенные им документы или их заверенные копии, необходимые для оказания юридической помощи в порядке, установленном действующим законодательством.
Однако, как сказано выше в данной статье в соответствии с п. 4 ст. 13 Закона об основах охраны здоровья только закрытый перечень лиц может получать сведения, составляющие врачебную тайну. Адвокаты не относятся к субъектам, которым врачебная тайна может быть предоставлена без согласия гражданина.
Ответственность за нарушение права на защиту персональных данных
Лица, виновные в нарушении требований действующего законодательства в области защиты персональных данных, несут предусмотренную законодательством Российской Федерации ответственность.
Моральный вред, причиненный пациенту вследствие нарушения его прав, нарушения правил обработки персональных данных, а также требований к защите персональных данных, подлежит возмещению независимо от возмещения имущественного вреда и понесенных пациентом убытков.
Так действующим законодательством предусмотрена административная ответственность, в частности, за:
- Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) в виде предупреждения или наложения административного штрафа на граждан в размере от 300 до 500 рублей; на должностных лиц — от 500 до 1000 рублей; на юридических лиц — от 5000 тысяч до 10 000 тысяч рублей (ст. 13.11 КоАП РФ).
- Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей в виде административного штрафа на граждан в размере от 500 до 1000 рублей; на должностных лиц — от 4000 до 5000 рублей (ст. 13.14 КоАП РФ).
Также возможно наступление уголовной ответственности, предусмотренной ст.
137 УК РФ (Нарушение неприкосновенности частной жизни) за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ.
Для медицинского работника при использовании своего служебного положения это наказывается штрафом в размере от 100 000 до 300 000 рублей или в размере заработной платы или иного дохода осужденного за период от одного 1 до 2 лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет, либо принудительными работами на срок до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет или без такового, либо арестом на срок до 6 месяцев, либо лишением свободы на срок до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет.
Источник: https://kormed.ru/baza-znaniy/pravila-okazaniya-meduslug/prava-i-obyazannosti-patsienta/pravo-pacienta-na-zashchitu-personalnyh-dannyh/
Защита персональных данных пациента
Сегодня всё чаще появляются судебные дела, возбуждённые в отношении медицинских работников за разглашение врачебной тайны и персональных данных. Анализ контрольно-надзорных мероприятий Роскомнадзора за 2015 год показывает, что каждая вторая проверка выявляет нарушения.
Обычно факты нарушения происходят из-за тотального непонимания медработниками законодательных требований по работе с персональной информацией и врачебной тайной. Задача руководителя вести разъяснительную работу со всем персоналом медорганизации: с врачами, медсёстрами, санитарами, сотрудниками регистратуры и другими.
Чтобы помочь руководителям и работникам медицинских организаций разобраться в этом вопросе, «Академия профессионального развития» провела вебинар «Законодательные требования к организации работы с персональными данными пациента и врачебной тайной в медицинских организациях: формирование внутреннего документооборота». Экспертом выступила юрист Юлия Павлова
Защита персональных данных пациента регулируется Федеральным законом от 21 ноября 2011 года N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и Федеральным законом от 27 июля 2006 года N 152-ФЗ «О персональных данных». Также защита персональных данных пациента – обязательный элемент профстандартов.
Часто в правоприменительной практике юристы сталкиваются с тем, что средний медицинский персонал недооценивает необходимость сохранения врачебной тайны и персональной информации. В медицинском сообществе сложилось мнение, что это этическая норма. Да, правовой основой врачебной тайны является этика. Но эта этическая норма охраняется законом.
– Врачебная тайна – это не просто право пациента, это принцип охраны здоровья, – утверждает Павлова.
Врачебную тайну нельзя разглашать даже после смерти пациента. Смерть гражданина не влечёт прекращения режима конфиденциальности информации о состоянии его здоровья, фактах обращения за медицинской помощью, лечении и так далее. Сведения, полученные при обследовании и лечении, в том числе личного характера — врачебная тайна.
Охрана врачебной тайны после смерти — международная норма. Родственники получают копии медицинской документации, если пациент при жизни выразил согласие.
Суды признают правомерными отказы медицинских учреждений в предоставлении сведений, составляющих врачебную тайну, по запросам адвокатов. Даже если пациент заключил соглашение с адвокатом об оказании юридической помощи, адвокат не вправе требовать предоставления информации, составляющей врачебную тайну.
С письменного согласия гражданина или его законного представителя допускается разглашение врачебной тайны в целях:
- медицинского обследования и лечения пациента;
- проведения научных исследований, их опубликования в научных изданиях;
- использования в учебном процессе и в иных целях.
Законный представитель и представитель отличаются друг от друга в правовом смысле. Законные представители — родители, усыновители, опекуны и попечители. С 15 лет человек сам даёт согласие на отказ от медицинского вмешательства, и родители получают сведения о состоянии здоровья ребёнка только с его письменного согласия.
Павлова отмечает, что сейчас очень важен документооборот. Он является доказательной базой. Если согласие на обработку персональных данных подписывает ненадлежащий субъект — это пустая бумага.
Если человек не может подписать какой-то документ, то составляется акт, который подтвердит этот факт.
10 оснований для разглашения врачебной тайны
Предоставление сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя допускается:
- для проведения медицинского обследования и лечения человека, который не в состоянии выразить свою волю;
- при угрозе эпидемий, массовых отравлений и поражений;
- по запросу:
- органов дознания и следствия, прокуратуры или суда во время расследования дела;
- органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и контролем поведения условно осуждённого или освобождённого условно-досрочно;
- органов исполнительной власти для контроля прохождения больными наркоманией лечения от наркомании и реабилитации, возложенного на них при назначении судом административного наказания.
- при оказании медпомощи несовершеннолетнему до 15 лет (больному наркоманией – до 16 лет) для информирования родителей или других законных представителей;
- для информирования полиции о поступлении пациента, вред здоровья которому причинён в результате противоправных действий;
Это не только право и законное основание для разглашения врачебной тайны, но ещё и обязанность медицинской организации.
- для проведения военно-врачебной экспертизы по запросам военных комиссариатов, военно-врачебных комиссий;
- для расследования профессионального заболевания или несчастного случая на производстве, в образовательной организации, в физкультурно-спортивной организации и во время спортивных соревнований;
- при обмене информацией медицинскими организациями для оказания медицинской помощи;
- для контроля в системе обязательного социального страхования;
– Когда эксперты запрашивают медицинскую документацию, то это законно, если это происходит в рамках осуществления ими контроля качества, – поясняет Павлова. – Поэтому это абсолютно нормально.
Вот раньше для этого не было основания и непонятно было. Ну, был подзаконный акт, который это регулировал, а это не может регулироваться никаким приказом Минздрава.
Это должна быть норма Федерального закона.
- для контроля качества и безопасности медицинской деятельности.
Юлия Павлова советует не спешить предоставлять сведения. Сначала нужно удостовериться, что это сотрудники Росздравнадзора, которые имеют право получать сведения, проводить проверки, запрашивать медицинскую документацию и так далее. Сомневаетесь — спросите у юриста.
Требуется ли согласие пациента на видеонаблюдение в медорганизации?
Согласно Разъяснениям Роскомнадзора «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки» посетители публичных мест заранее извещаются администрацией о возможной фото- и видеосъёмке объявлениями и другими визуальными предупреждениями. При соблюдении указанных условий согласие пациента на фото- и видеосъёмку не требуется.
Системы аудио- и видеонаблюдения устанавливают для усиления безопасности и сохранности материальных ценностей и дорогостоящего оборудования, для внутреннего контроля качества и безопасности медицинской деятельности. Главное, чтобы эта информация не вышла за пределы медорганизации.
Как ведётся обработка персональных данных?
Обработка персональной информации производится только с согласия пациента и включает в себя:
- сбор, запись и систематизацию;
- накопление, хранение и уточнение – обновление или изменение;
- использование и передачу;
- обезличивание, блокирование и уничтожение.
Исключения:
- обработка персональных данных для защиты жизни, здоровья или иных жизненно важных интересов пациента, если получение его согласия невозможно;
- обработка персональных данных в медико-профилактических целях, в целях установления диагноза, оказания медицинских услуг при условии, что работу осуществляет профессиональный медицинский работник, который обязан сохранять врачебную тайну.
Отказ от подписания согласия на обработку персональных данных не может служить основанием для отказа от оказания медицинской помощи!
Сообщать такие сведения – право, а не обязанность пациента. Медицинская организация не может требовать представления этих сведений в принудительном порядке или отказывать пациенту в оказании медицинской помощи и заключении договора оказания медицинских услуг.
Что делать, если пациент требует уничтожить медицинскую карту?
В статье 79 закона «Об основах охраны здоровья граждан в Российской Федерации» говорится об обязанности медицинской организации вести медицинскую документацию в установленном порядке и предоставлять отчётность по видам, формам, в сроки и в объёме, которые установлены уполномоченным федеральным органом исполнительной власти.
Сведения в медицинской карте необходимы для составления отчётности. Медкарту не уничтожают до истечения утверждённых сроков хранения, даже если этого требует пациент.
Как быть готовым к проверке Роскомнадзора?
Проверки подразделяются на плановые и внеплановые.
Внеплановые проверки проводятся, когда выявляются нарушения в действиях организации, осуществляющей обработку персональных данных, и когда в Роскомнадзор поступают обращения, жалобы граждан. О внеплановой проверке Роскомнадзор предупреждает за 24 часа до начала проверки.
Предупреждение о плановой проверке приходит максимум за 3 рабочих дня до даты её начала. Такие проверки проводятся по утверждённому на год плану, поэтому к ним можно и нужно заранее готовиться.
Чтобы узнать, когда ждать плановой проверки, зайдите на сайт Управления Роскомнадзора вашего региона и просмотрите план деятельности управления на текущий год.
Алгоритм подготовки к проверке:
- Проведите внутренний аудит для анализа процессов обработки персональной информации в учреждении.
В процессе аудита определяются:
- перечень информационных систем, в которых обрабатываются данные;
- цели обработки;
Для ЛПУ – это выполнение требований законодательства в сфере здравоохранения и оказание медицинских услуг населению.
- в ЛПУ обрабатываются: ФИО, дата рождения, адрес, семейное положение, место работы и сведения о состоянии здоровья;
- категории субъектов, данные которых обрабатываются в ЛПУ: пациенты и сотрудники учреждения.
- Назначьте ответственных за организацию обработки и за обеспечение безопасности персональной информации.
Как правило, в лечебно-профилактических учреждениях за организацию обработки персональных данных отвечает заместитель главного врача или сам главный врач, за обеспечение безопасности персональных данных – системный администратор или программист.
- Подготовьте необходимые документы.
В пакет документов обязательно входит Политика в отношении обработки персональных данных. Этот документ содержит в себе принципы и условия обработки персональной информации пациентов и сотрудников учреждения.
Политика размещается в общедоступном месте или на сайте ЛПУ, чтобы каждый мог с ней ознакомиться. Также подготавливаются приказы, положения, инструкции, которые позволяют выполнить все требования законодательства.
- Подайте уведомление о намерении осуществлять обработку персональных данных в Роскомнадзор.
В случае каких-либо изменений подаётся информационное письмо с перечнем этих изменений. Уведомление можно отправить в электронном виде через сайт Роскомнадзора. Распечатанную версию необходимо отправить по почте в Управление Роскомнадзора вашего региона. В течение 30 дней учреждение вносится в реестр операторов персональных данных.
Представители структуры обязательно ознакомятся с формой согласия на обработку персональных данных, в которой указывается их перечень, цель обработки и сроки её прекращения.
Если организация передаёт данные третьему лицу, в форме указывается согласие субъекта на поручение обработки такому лицу.
В договоре, заключённом с третьим лицом, отдельным пунктом прописываются условия конфиденциальности.
Роскомнадзор также обратит внимание на выполнение Положения о локализации хранения персональных данных. Информация о местонахождении баз данных должна быть указана в Политике и уведомлении или в информационном письме, если уведомление уже было отправлено.
Ещё одним важным требованием является ознакомление сотрудников с положениями законодательства РФ о персональных данных и локальными актами учреждения по вопросам обработки персональных данных. Во время проверки Роскомнадзор потребует предоставить соответствующие формы ознакомления.
Если во время проверки выявляются нарушения, то Роскомнадзор оформляет акт о выявлении нарушений с предписанием об их устранении и передаёт информацию в суд.
Приглашаем вас принять участие в Международной конференции для частных клиник «Инновационные подходы к удовлетворению ожиданий современных пациентов», где вы получите инструменты для создания положительного имиджа вашей клиники, что повысит спрос на медицинские услуги и увеличит прибыль. Сделайте первый шаг на пути развития вашей клиники.
Источник: https://academy-prof.ru/blog/personalnye-dannye-pacienta-v-lpu
Нужно ли медицинским учреждениям собирать согласия с пациентов на обработку их персональных данных?
Нужно ли медицинским учреждениям собирать согласия с пациентов на обработку их персональных данных?
Этой заметкой хотелось завершить цикл статей, связанных с защитой персональных данных, Роскомнадзором и прочим с этим связанным. Думаю, что в цикле статей по подготовке к проверкам , и в руководстве по заполнению уведомления тему более менее раскрыл.
Дальше буду писать на эту тему при появлении какой-нибудь новой информации или если возникнет интересная идея для статьи.
По вопросу, выведенному в заголовок решил сделать отдельную заметку, потому что уж очень часто ответственные за обработку ПДн в медицинских учреждениях задают мне этот вопрос.
Начну, пожалуй, с рассмотрения случая, который уже давно стал в определенных кругах своего рода мемом. 22 ноября 2013 года Управление Роскомнадзора по Астраханской области вынесло предписание местной областной клинической больнице об устранении нарушений.
Суть претензий регулятора заключалась в том, что в организации собирают согласия с пациентов, а согласно закону «О персональных данных» якобы могут в их случае не собирать.
Маразматичность этого предписания с одной стороны состоит в том, что организацию наказали за перевыполнение требований.
Вот представьте себе гипотетическую ситуацию: условно есть требование, что необходимо на входе в «Помещение №1» установить стальную дверь. Вы решили выпендриться и поставить титановую.
Приходит регулятор и наказывает вас за то, что ваша дверь более крепкая чем нужно. Сказано же в требованиях: «Дверь должна быть стальная!». Тупо? Тупо. Вот так и здесь.
Но с другой стороны, на самом деле, Роскомнадзор и с точки зрения законодательства не прав. Давайте разбираться.
Пункт 4 части 2 статьи 10 закона говорит следующее:
Обработка указанных в части 1 настоящей статьи специальных категорий персональных данных допускается в случаях, если:
обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
Вроде бы все правильно. Но давайте подумаем. Тут ключевым является союз «и». То есть эта норма распространяется на тех, кто и занимается медицинской деятельностью и обязан хранить врачебную тайну одновременно — на профессиональных врачей.
Скажите честно, много ли вы знаете медицинских организаций, где доступ к персональным данным пациентов имеют только профессиональные врачи? Вряд ли.
В любом подобном учреждении с медицинскими картами работают как минимум сотрудники регистратуры, а как максимум еще и сотрудники отдела медстатистики, медсестры и даже работники столовой могут сверять диету того или иного пациента с электронной картой пациента (если внедрена полноценная информационная система).
И при всем к ним уважении, профессиональными врачами эти люди точно не являются. Даже в маленьких частных заведениях, вся деятельность которых сводится к консультациям и оказания услуг, например, массажа, сидит секретарь-регистратор, выдающий посетителям медицинские карты.
Пункт 3 этой же части этой же статьи закона мы рассматривать не будем, так как там речь идет о ситуации когда согласие с пациента нельзя получить. Но даже в психиатрии не все пациенты настолько невменяемые, поэтому пункт также отпадает. И остается 1 пункт, когда специальные категории можно обрабатывать только с письменного согласия субъекта. Поэтому ответ на вопрос из заголовка — да, нужно.
Источник: https://www.securitylab.ru/blog/personal/bezoblog/310150.php
Защита персональных данных в медицинских учреждениях | Персональные данные пациентов в медицинских организациях
Обоснование необходимости электронной безопасности очевидно – сейчас весь медицинский учет проводится через оргтехнику. Использование компьютерного оборудования для обработки персональных данных пациентов и медперсонала – чрезвычайно необходимая мера в российских реалиях.
Первыми на эту схему перешли дорогие частные клиники, но с удешевлением компьютеров и увеличением бюджетных ассигнований электронный учет появился даже в районных поликлиниках отдаленных районов Крайнего Севера. Соответственно, понадобилось внедрять новейшие методики безопасности.
Законодательство
Первичная правовая база по организации безопасности и защиты персональной информации в медицинских учреждениях, выполнение с этой целью всех защитных мероприятий основываются на законе № 152-ФЗ, принятом 27.07.2006. Общие юридические основания о врачебной тайне прописаны в «Основах… об охране здоровья…». В этом документе содержатся основополагающие требования по защите персональных данных.
Новую интегрированную систему защиты персональных данных в медучреждениях законодательство требует стандартизировать по последним сертификатам электронной безопасности. Порядок проверок и список лиц, уполномоченных следить за выполнением данного положения, определяется специальными документами Минздрава, муниципальных властей и надзорных органов юстиции.
Основные нормативы, которыми руководствуются медучреждения при создании системы защиты ПД:
- ФЗ № 149 об информации, информтехнологиях и способах защиты этой информации;
- Указ Президента № 188, в котором перечислены сведения, отнесенные к конфиденциальным;
- Основы законодательства РФ – статьи 31 и 61, описывающие права пациентов, в том числе связанные с обработкой ПДн с применением автоматизированных средств;
- ФЗ № 5487 об охране здоровья граждан на территории РФ;
- Приказ № 29н Минздрава РФ о медицинских формах учета и отчетности.
Перечень неполный, но любой теоретически возможный иной способ сбора персональных данных априори опирается на приведенные выше нормативы.
Правовые документы по обработке ПДн медперсонала
Кроме вышеперечисленных документов, в медорганизациях применяются нормативные акты по организационному обеспечению защиты ПД медперсонала. К этим документам относятся:
- ТК РФ – гл. 14;
- Постановление Госкомстата РФ № 1 от 05.01.2004 г., касающееся утверждения и оформления унифицированных форм учета документов по оформлению трудовых отношений, оплате труда.
Сроки обработки данных установлены приказом «О введении в действие положения о медицинском архиве лечебного учреждения».
Законодательные базы для медперсонала и пациентов в целом схожи функционально.
Разница на практике возникает в момент, когда необходимо обеспечить конфиденциальность: большая часть ответственности за правильную и безопасную работу с персональными данными лежит на уполномоченных лицах из персонала клиник, амбулаторий, санаториев и иных медицинских учреждений, непосредственно отвечающих за сбор информации у пациентов и персонала. Их список, а также положения о сборе, хранении, обработке и передаче ПД должны быть разработаны в каждом медучреждении и доведены до персонала, ответственного за работу с персональными данными пациентов и сотрудников организации.
Специфика обработки персональных данных в медучреждениях
Первое, что должно учитываться оператором (медорганизацией) при обработке персональных данных в медицинских учреждениях, – исключительная роль этической составляющей. Медучреждения обязаны хранить данные о здоровье каждого пациента, не допускать огласки такой информации. Многие болезни считаются социально табуированными и не подлежат разглашению по базовым правилам медицинской этики.
Анализ персональных данных пациентов зиждется на принципе, согласно которому здоровье пациента является чрезвычайно конфиденциальной категорией информации. Какое-либо своевольное изъятие данных категорически воспрещается.
Исключение делается только в ситуации чрезвычайных обстоятельств. Например, речь может идти о защите самой жизни или здоровья пациента либо третьих лиц.
Также возможность изымать персональные данные без согласия фигуранта допускается в случае полной физической невозможности заручиться таким разрешением (пациент недееспособен, недоступен для заверения своей воли, либо речь идет об уже умершем человеке).
В любом случае к работе с персональной информацией допускаются исключительно медработники, имеющие соответствующую квалификацию и аттестованные по правилам Минздрава.
Первым техническим моментом организации обработки ПДн пациентов и персонала медучреждений является выполнение требований статьи 31 Основ законодательства об охране здоровья.
Пациент должен быть обязательно проинформирован о состоянии здоровья его организма (общий анамнез, симптомы заболеваний, предлагаемая терапия, все возможные риски, побочные эффекты, дополнительные финансовые траты, сроки проведения процедур, коррекция рабочего времени по недееспособности и т. д.). Причем эта информация должна быть подана в форме, доступной для понимания пациента. Это также касается лиц с ограниченными физическими возможностями. Если необходимо – дополнительно назначается квалифицированный переводчик. Это полностью пересекается со 143-й статьей закона о персональных данных – требованием, определяющим право на доступ к ПД как пациента, так и медперсонала.
Обязанности медучреждений как операторов ПДн
Медучреждения в качестве операторов при сборе ПД обязаны предоставить каждому пациенту следующую информацию (если такое требование им предъявляется), которая касается ПДн:
- подтверждение факта их обработки, ее цели;
- способы, применяемые оператором во время обработки ПДн;
- сведения о лицах, получивших доступ к этой информации и имеющих право на доступ к ней;
- список ПДн, необходимых для обработки в медучреждении, источник таких данных;
- срок, на протяжении которого эта информация будет обрабатываться, включая сроки ее хранения;
- данные о последствиях юридического характера для субъекта во время обработки ПДн;
- предоставление разъяснений о последствиях отказа пациента от предоставления своих ПДн, если это будет установлено как обязанность субъекта соответствующим федеральным законом.
При получении ПДн не от их субъекта оператор перед началом их обработки должен ознакомить пациента со следующей информацией:
- название (ФИО), адрес оператора, его представителя, предоставившего ПДн;
- цели их обработки, правовые аспекты таких действий;
- кому могут быть доступны ПДн (кто может пользоваться этими данными);
- права, установленные законом в отношении субъекта персональных данных.
Права пациентов
Обеспечение безопасности ПДн посетителей частных и муниципальных медицинских заведений регламентируется не только техническими средствами. Любые данные, подпадающие под определение врачебной тайны, могут быть оглашены только с согласия пациента.
Исключения описаны в статье 61 «Основ… об охране здоровья». Это требование полностью дублирует шестая статья ФЗ «О персональных данных». ПД должны передаваться только по защищенным каналам связи, которые позволяют уберечь эту информацию от утечки.
Пациенты имеют право в отношении своих ПДн требовать их блокирования, уточнения, уничтожения, если эта информация является неполной, неактуальной, неверной, полученной незаконным путем, не нужна для заявленных целей обработки.
Также пациент имеет право на защиту своих прав, предусмотренных законодательством в отношении обработки, передачи, хранения персональных данных.
По запросу доступ к ПДн может быть предоставлен законному представителю пациента (ГК РФ ст. 26) – родителям, усыновителям, попечителям.
Законный представитель имеет право выполнять от имени носителя ПДн любые действия, а также определять лиц, которым будет разглашаться информация, являющаяся врачебной тайной пациента. Лицо, которое имеет право получить такие данные, не имеет никаких прав вступать в гражданские правоотношения от лица пациента.
В случае необходимости предоставления носителю ПДн срочной медпомощи, его согласие на обработку этой информации не требуется (в случае техногенных катастроф, стихийных бедствий, при реальной угрозе его жизни и здоровью).
Техническая часть
Необходимая оргтехника подбирается и поставляется в соответствии с рекомендациями контролирующих органов. Сбор данных, проводимый согласно законодательно установленным методикам, должен быть защищен на всех этапах.
Спецификой работы медучреждений является сравнительно большая база по сравнению с муниципальными органами специализированных терминалов, связанных с хранением данных, передачей через Интернет, по локальным сетям различных типов.
Поэтому критически важно иметь идеально настроенные защитные барьеры и своевременно обновлять сертифицированное ПО, пользоваться эффективной антивирусной защитой.
Список разрешенных программных средств регулярно обновляет Минздрав и локальные отделы кибербезопасности.
Размещение информсистем, приобретение, установка, работа специального оборудования, а также охрана таких помещений должны строиться на обеспечении полной сохранности носителей, на которых размещены ПДн, средств защиты такой информации.
Организация работы с ПДн должна предусматривать все необходимые меры, исключающие возможность несанкционированного проникновения или нахождения в таких помещениях посторонних лиц.
Источник: https://searchinform.ru/resheniya/biznes-zadachi/zaschita-personalnykh-dannykh/realizaciya-zashchity-personalnyh-dannyh/perechen-personalnyh-dannyh-podlezhashchih-zashchite/zaschita-personalnykh-dannykh-v-meditsinskikh-uchrezhdeniyakh/
Обработка персональных данных в медицинской организации
Мероприятия по обеспечению информационной безопасности при работе с персональными данными в медицинской организации
Утверждение графика мероприятий по организации обработки персональных данных
В первую очередь, медицинской организации целесообразно составить график мероприятий по организации обработки и защиты персональных данных, однако с учетом того, что Закон № 152-ФЗ в полную силу заработал еще в 2010 г.
1 и, соответственно, большая часть мероприятий и требований закона должна была быть выполнена к 1 января 2010 г.
Поэтому, скорее всего, потребуется внести некоторые изменения в положения и регламенты медицинской организации в связи с вышеуказанными изменениями законодательства.
Назначение ответственного за организацию обработки персональных данных
Работник учреждения здравоохранения назначается ответственным за организацию обработки персональных данных во исполнение норм ст. 22.1 Закона № 152-ФЗ приказом руководителя (см. образец). В его обязанности согласно закону теперь также входит:
- осуществление контроля над соблюдением оператором и сотрудниками медицинской организации законодательства о персональных данных и требований к их защите;
- доведение до сведения работников медицинской организации положений законодательства и иных актов (например, локальных актов учреждения), регламентирующих процессы обработки персональных данных, и требований к их защите;
- организация приема и обработки обращений и запросов субъектов персональных данных (работников медицинской организации и пациентов) и осуществление контроля над их приемом и обработкой.
Ответственный сотрудник получает указания непосредственно от руководства медицинской организации и подотчетен только ему (ч. 2 ст. 22.1 Закона № 152-ФЗ). Соответствующие изменения и дополнения необходимо внести и в должностную инструкцию работника, ответственного за указанную часть работы в учреждении здравоохранения.
Обследование информационной системы медицинской организации
Обследование информационной системы осуществляется с целью систематизации сведений об организации и обрабатываемых данных, выделения систем обработки персональных данных и их классификации в соответствии со ст. 19 Закона № 152-ФЗ, нормативными и методическими документами.
При проведении данного этапа работы по обеспечению информационной безопасности при обработке персональных данных необходимо руководствоваться следующими документами:
- постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
Источник: https://vladmedicina.ru/news/meditsinskoe/2013-05-06-obrabotka-personalnyh.htm
Работа среднего медицинского персонала с персональными данными пациента
Рекомендуемая категория для самостоятельной подготовки:
Курсовая работа*
Код | 204413 |
Дата создания | 13 мая 2017 |
Страниц | 24 |
Файлы будут доступны для скачивания после проверки оплаты. Мы онлайн и готовы обработать ваш заказ. |
Заключение Таким образом, в системе современного здравоохранения важное место уделяется не только охране здоровья граждан, но и соблюдению правил этики и деонтологии.
Электронные базы данных пациентов предполагают доступ к персональным данным пациентов широким кругом медицинских работников учреждения здравоохранения, что предполагает определение и регламентацию инструкций по работе с персональными данными в рамках конкретного учреждения. Так как чаще всего оператором по работе с персональными данными выступает средний медицинский персонал, необходимо уделять особое внимание обучению медицинских сестёр данному вопросу, в том числе необходимости знать все правовые нормативные документы. Всё это приведёт к сокращению случаев разглашения медицинской тайны по неосторожности или незнанию ответст …
Введение 3 Глава 1. Обзор литературы 4 1.1. Персональные данные пациента. Законодательство РФ о персональных данных. Врачебная тайна 4 1.2. Правовой статус сестринского персонала в сфере персональных данных. Ответственность за нарушение работы с персональными данными 8 Глава 2. Работа с персональными данными медицинского персонала ГБУЗВО «Областная Клиническая Больница» г.Владимир 15 Заключение 17 Список используемой литературы 18 Приложение 1 21 Приложение 2 24 Введение В России работа медицинской сестры – важнейшая и обширная составная часть всего здравоохранения, которая располагает значительными кадровыми ресурсами [9]. Сестринское дело рассматривается как один из экономичных способов предоставления услуг в области здравоохранения. Развитие системы сестринского обслуживания является частью общей тенденции к дальнейшему повышению экономической эффективности системы здравоохранения [10].В свою очередь медицинская сестра имеет на сегодняшний день целый ряд обязанностей, в которые входит непосредственная работа с персональными данными пациентов. В век развития компьютерных технологий всё больше в учреждениях здравоохранения внедряются электронные системы регистрации и хранения персональных данных, а обработка персональных данных должна осуществлят ься с соблюдением необходимых мер, которые обеспечивают конфиденциальность информации и её защиту от несанкционированного доступа. Таким образом, объектом настоящей работы является средний медицинский персонал, а предметом исследования – персональные данные пациентов. Целью настоящей работы явилось изучить работусреднего медицинского персонала с персональными данными пациента. Задачи: 1. Изучить понятия о персональных данных и врачебной тайне, а так же законодательство РФ о персональных данных. 2. Изучить работу медицинской сестры с персональными данными пациента и рассмотреть ответственность при ее нарушении.
На медицинское учреждение, являющееся рабoтодателем сестринского персонала, возлагаются определенные обязанности [12].
Среди данных обязанностей – назначение ответственного за организацию обработки персональных данных, издание документов, определяющих политику оператора – среднего медицинского персoнала в отношении обработки персональных данных, локальных актов (Положений) по вопрoсам обработки персональных данных, а также локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений, устранение последствий таких нарушений [13].В каждой медицинской организации должен быть издан приказ об установлении списка тех сотрудников, которые имеют право доступа к персональным данным в целях их oбработки [14]. В нем указываются не только данные работников, но и виды информации для доступа, а также необходимы ссылки на то, что полученные сведения могут быть использованы только для целей установления медицинского диагноза, оказания услуг, обмена информацией между медицинскими организациями, в том числе размещенной в медицинских информационных системах [6]. Актуальной на сегодняшний день является проблема защиты конфиденциальной информации, связанная с использованием компьютеров. При организации работы в учреждении нужно стремиться к максимально возможному сокращению количества сотрудников, имеющих доступ к персональным данным пациентов [10]. Так, медицинские организации Владимирской области получили 1939 компьютерных комплексов на рабочие места медицинского персонала. Оборудование поступило в 63 медицинских учреждения. Это персональные компьютеры с установленными программами, многофункциональное устройство для сканирования, копирования и печати документов, принтер, а также источник бесперебойного питания [15]. Согласно плану развития Единой государственной информационной системой здравоохранения (ЕГИСЗ) до конца 2018 года электронные медицинские карты будут в большинстве учреждений здравоохранения по РФ. Электронная медицинская карта позволит врачам получать доступ к истории болезни, в каком бы медицинском учреждении области не находится пациент. В документе будут лабораторные данные, протоколы вакцинации и многое другое. Во владимирской области продолжается проект по внедрению электронных карт, а также создание центрального архива медицинских изображений. Некоторые учреждения раньше других внедряют электронные карты. Например, в 2015 году на базе Областной клинической больницы начал работать Центральный архив медицинских изображений; подключены 14 аппаратов, изображения с которых поступают в архив. Из лабораторной системы 24 учреждения из 54 подключенных к системе уже готовы к работе. Теперь задача учреждений оснастить сотрудники автоматизированными рабочими местами. При внедрении электронной системы медицинских карт необходима защита от действий злоумышленников. Ведь они могут использовать их в своих целях. Есть много аналогичных примеров в развитых странах Западной Европы и США [21]. 25 февраля 2016 года Медицинский информационно-аналитический центр организовал обучающий семинар для руководителей медицинских учреждений и специалистов в области компьютерного обеспечения, посвященный внедрению регионального сегмента ЕГИСЗ [16].Специалисты рассказали слушателям о перспективах развития электронных медицинских карт, о принципах работы проектов «Электронная очередь» и «Электронная регистратура — вызов врача на дом».В 2016 году будет организован цикл обучающих семинаров по вопросам развития и использования электронной медицинской системы. Темы самые разнообразные – ЭМК в поликлинике и стационаре, документооборот в здравоохранении, учет внутриведомственной экспертизы в рамках ЕГИСЗ и многое другое [17].Конфиденциальной считается вся документированная информация о пациенте, которая не подлежит передаче третьим лицам без согласия пациента или его законного представителя. Поэтому должно быть получено согласие пациента на передачу касающихся его сведений, содержащих врачебную тайну, кому-либо, в том числе должностным лицам в интересах его обследования и лечения (см. приложение). Следует отметить, что действующее законодательство четко предписывает получать письменное согласие пациента на обработку персональных данных, которое должно включать в себя: ФИО, адрес пациента, данные паспорта или другого документа, удостоверяющего его личность;ФИО, адрес законного представителя, данные паспорта или другого документа, удостоверяющего его личностьОбозначить цель обработки персональных данных;Перечислить список персональных данных, на обработку которых дается согласие пациента;Однако, не всегда требуется согласие пациента на обработку персональных данных. К таким данным, например, относятся данные паспорта, которые указываются пациентом в договоре на оказание медицинских услуг, данные о национальности, политических взглядах, религиозных убеждениях [14].Защита информации — это предотвращение незаконного доступа к персональным данным и документам, их утери и изменения. Организация и регулирование системы информационной безопасности требуют значительных ресурсов. Например, во многих организациях, связанных с финансовыми операциями и кредитами, планируемые расходы на защиту информации могут составить более 20% от всех расходов на информационное обеспечение. Очевидно, что безопасностью конфиденциальности информации и персональных данных должны заниматься соответствующие специалисты, имеющие необходимую профессиональную подготовку. Приказом Минздравсоцразвития России № 247н от 29.05.2008 в перечень профессиональных квалификационных групп включены должности специалистов (техники, инженеры и т. д.) по защите информации. Однако, на данный момент в штате медицинских учреждений сотрудники по информационной безопасности за единичными случаями не предусмотрены. Так же как и в бюджетах большинства из них не предусмотрены расходы на организацию системы защиты информации [4]. Изучив информацию о должностных обязанностях медицинской сестры можно встретить практически идентичные инструкции: в должностные обязанности медицинской сестры входят: осуществление всех этапов сестринского процесса. Это и первичная оценка состояния здоровья пациента, интерпретация полученных данных, составление плана индивидуального ухода и оценка достигнутого результата; компетентное, своевременное выполнение необходимых лечебно-диагностических и профилактических процедур, назначенных врачом; помощь врачу при проведении им малых операций или лечебно-диагностических манипуляций в условиях как стационара, так и амбулатории; oказание доврачебной неотложной помощи при чрезвычайных ситуациях и острых заболеваниях со следующей госпитализацией пациента в медицинское учреждение или вызовом к нему врача; самостоятельное введение лекарств при жизнеугрожающих если невозможно дождаться врача; донесение информации до заведующего отделением, а также врачу в дежурстве или врачу-ординатору обо всех возникших осложнениях у пациентов во время проведения медицинских манипуляций, о нарушениях пациентами правил внутреннего распорядка лечебно-профилактического учреждения; oбеспечение надлежащего хранения, учета и списания лекарственных препаратов; контроль приема лекарств и проведения процедур пациентами; ведение всей необходимой медицинской документации [3].Должностные инструкции во многом зависят от квалификации и места работы медицинской сестры, однако редко можно встретить регламентированные инструкции по работе медицинской сестры с персональными данными пациента. Это на сегодняшний день является «слабым местом» работы со средним медицинским персоналом, в том числе в рамках курсов повышения квалификации. Данному вопросу не уделяется должного внимания, отсюда и ряд вытекающих последствий, когда средний медицинский персонал несет ответственность за нарушение работы с персональными данными и разглашение конфиденциальной информации о пациенте. Ответственность за нарушение врачебной тайны.Статья 151 ГК РФ определяет, что, если вследствие разглашения врачебной тайны гражданину причинён моральный вред, то суд может возложить на нарушителя обязанность денежной компенсации такого вреда, так как происходят физические и нравственные страдания гражданина. Таким образом, при разглашении персональных данных представителем врачебного, среднего медицинского, младшего медицинского или административного персонала медицинской организации, ответчиком по делу о возмещении вреда, причинённого разглашением врачебной тайны, будет являться сама медицинская организация, а работник подлежит привлечению к участию в деле в качестве третьего лица. Разглашение врачебной тайны происходит при публикации сведений, являющихся конфиденциальными в средствах массовой информации, трансляции в телепередачах и на радиостанциях, демонстрацию в документальных фильмах и слайд-шоу, освещение на выступлениях или сообщение в любой, в том числе словесной, форме другим гражданам. Конечно, наибольшую освещение персональных данных происходит через средства массовой информации большому числу людей – это статьи в газетах и журналах и трансляция по телевидению. Может показаться, что данные ситуации достаточно редки, но если они имеют место, это зачастую наносит огромный моральный вред пациенту, информация о котором стала предметом общественной гласности, данные дела имеют большой общественный резонанс и серьёзную судебную перспективу [19]. Вместе с гражданской и административной, существует по закону и уголовная ответственность за разглашение персональных сведений. Стоит подчеркнуть, что ст. 137 Уголовного Кодекса РФ, непосредственно посвященная в своих разделах врачебной тайне, имеет раздел «Преступления против конституционных прав и свобод человека и гражданина», что особо выделяет врачебную тайну в предмет защиты законодательством. Предусматривается ответственность за разглашение данных о частной жизни лица, составляющих его личную тайну, без его согласия или распространение сведений в публичном выступлении, публично демонстрирующемся прoизведении или в средствах массовой информации, если совершается из корыстной а так же другой личной заинтересованности, нанесли вред правам и законным интересам граждан [22]. Так, нарушение конфиденциальности медицинским работником с использованием своего служебного положения влечёт за собой уголовное наказание в виде штрафа в размере от 500 до 800 минимальных окладов или в размере заработной платы за период от 5 до 8 месяцев, или лишение права занимать свою должность или заниматься медицинской деятельностью на срок от 2х до 5 лет, возможен и арест на срок от 4 до 6 месяцев. Вместе с тем, разглашение конфиденциальной информации наказывается штрафом в размере от 100 до 200 минимальных размеров оплаты труда или в размере заработной платы или иного дохода медицинского работника за период от 1 до 2х месяцев, или даже лишением свободы на срок до 4х лет. Если же разглашение врачебной тайны привело к тяжким последствиям, то оно наказывается лишением свободы на срок от 3х до 10 лет с лишением права занимать определённые должности или заниматься медицинской деятельностью на срок до трёх лет [20].Глава 2. Работа с персональными данными медицинского персонала ГБУЗВО «Областная Клиническая Больница» г.ВладимирВ настоящее время – это наиболее современное лечебное учреждение во Владимирской области, оказывающее экстренную, специализированную плановую, высокотехнологичную медицинскую помощь, имеющее в структуре многопрофильный стационар, региональный сосудистый центр, родильный дом, диагностическую службу, консультативную поликлинику, областной центр по борьбе со СПИД, центр медицины катастроф, санитарную авиацию.Ежегодно в ГБУЗВО «ОКБ» обращаются 171 тысяча пациентов, в консультативно-диагностический центр – около 150 тысяч пациентов, госпитализируются 21 тысяча пациентов. В учреждении работают всего 1326 человек, из них: врачи – 253 человек; средний персонал – 538 человек.В 2013 году в ГБУЗВО «ОКБ» вышел приказ № 383 о порядке предоставления сведений, составляющих врачебную тайну, в котором четко прописаны основания для предоставления информации о пациенте физическому лицу, его законному представителю, судебным органам.Нами был проведено анкетирование врачебного и медсестринского персонала в ГБУЗВО «ОКБ» города Владимир (анкета см. приложение 2) по вопросам, связанным с работой с персональными данными. В анкетировании участвовало 85 врачей и 98 медсестер. В результате было выявлено, что всего 51% медицинского персонала знакомы с приказом их медицинского учреждения о защите персональных данных. Все врачи и медицинские сестры (100%) знакомы с таким документом, как согласие пациента на обработку персональных данных и в свою очередь получали у пациентов данное согласие. Так же знаком медицинский персонал с информированным согласием на обработку персональных данных, однако лишь 62% врачей и 43% медицинских сестёр обращаются к нему, беседуя с родственниками пациента и не знают, кому конкретно пациент доверил сообщать сведения о себе.
Источник: https://ReferatBank.ru/market/referat/i/204413/kursovaya-rabota-srednego-medicinskogo-personala-personalnymi-dannymi-pacienta.html