Новые правила по работе с персональными данными

Необходимость работы с персональными данными проистекает из самой обязанности клиники взаимодействовать с пациентами и работниками. При этом по уровню важности и степени защиты законодатель ставит персональные данные наряду с врачебной тайной.

Указ Президента РФ от 06.03.1997 № 188 под персональными данными понимает сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность. Федеральный закон от 27.07.2006 № 152-ФЗ под персональными данными понимает любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

С персональными данными работают все медорганизации.

Так, в системе ОМС обработка персональных данных является основой для персонифицированного учета пациентов (ст. 92 Федерального закона от 21.11.2011 № 323-ФЗ, ст. 43 Федерального закона от 29.11.2010 № 326-ФЗ, Приказ Минздравсоцразвития России от 25.01.2011 № 29н). Для целей персонифицированного учета медорганизации вправе обрабатывать следующие сведения о пациентах:

1) фамилия, имя, отчество;

2) пол;

3) дата рождения;

4) место рождения;

5) гражданство;

6) данные документа, удостоверяющего личность;

7) место жительства;

8) место регистрации;

9) дата регистрации;

10) СНИЛС;

11) номер полиса ОМС;

12) данные о выбранной страховой медицинской организации;

13) дата регистрации в качестве застрахованного лица;

14) статус застрахованного лица (работающий, неработающий);

15) сведения о медицинской организации, выбранной пациентом для получения первичной медико-санитарной помощи;

16) сведения о медицинском работнике, выбранном пациентом для получения первичной медико-санитарной помощи.

При этом под обработкой персональных данных закон понимает весь спектр действий с информацией: ее сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение. Такие действия могут проводится как с использованием средств автоматизации, так и без них.

Обработка персональных данных осуществляется медорганизациями и при оказании платных медицинских услуг (Постановление Правительства РФ от 04.10.2012 № 1006).

Обязанность медорганизаций соблюдать конфиденциальность персональных данных предусмотрена и при их работе в медицинских информационных системах (ст. 79 Федерального закона от 21.11.2011 № 323-ФЗ).

Неисполнение указанных обязанностей влечет для медорганизаций и ее должностных лиц ответственность: административную (ст. 13.14 КоАП РФ) и уголовную (ч. 2 ст. 137 УК РФ).

Согласие пациента на обработку его персональных данных является необходимым для ее обработки. Единой формы такого согласия закон не устанавливает, но определяет перечень необходимых для включения в согласие элементов (ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ).

Однако с 1 сентября 2021 года Роскомнадзор обозначил для включения в форму согласия дополнительные (расширенные) сведения (Приказ Роскомнадзора от 24.02.2021 № 18):

  • фамилия, имя, отчество (при наличии) субъекта персональных данных, контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных);
  • сведения об операторе-организации, об операторе — физическом лице, об операторе — индивидуальном предпринимателе;
  • сведения об информационных ресурсах оператора (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных;
  • цель (цели) обработки персональных данных;
  • категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных: персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, образование, профессия, социальное положение, доходы, другая информация, относящаяся к субъекту персональных данных); специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояние здоровья, интимной жизни, сведения о судимости);
  • категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов (заполняется по желанию субъекта персональных данных);
  • условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных (заполняется по желанию субъекта персональных данных);
  • срок действия согласия.

Кроме того, медорганизация осуществляет обработку персональных данных и своих работников (гл. 14 Трудового кодекса РФ). При этом с с 1 сентября 2021 года необходимо получать согласие работника не только на обработку персональных данных, но и персональных данных, разрешенных субъектом персональных данных для распространения (для ситуации, когда работодатель, например, хочет разместить фото работника на сайте, стенде и пр.).

В настоящее время рекомендуется обновить (разработать) следующие документы:

  • Информированное согласие пациента на обработку его персональных данных (персональных данных представляемого), в т.ч. разрешенных субъектом персональных данных для распространения;
  • Положение о защите персональных данных работников;
  • Согласие работника на обработку персональных данных, в т.ч. разрешенных субъектом персональных данных для распространения.

Защита персональных данных при их обработке: рекомендации Роскомнадзора от 8 августа 2023 года. Ведомство советует операторам:

  • минимизировать список персональных данных для сбора и обработки. Лучше использовать только те сведения, которые реально нужны;
  • раздельно хранить личные сведения клиентов, работников, соискателей и т.д.;
  • не накапливать личную информацию на всякий случай и не формировать профили клиентов, если это не жизненно важно оператору;
  • хранить идентификаторы человека (Ф.И.О., электронную почту, телефон, адрес) и данные о взаимодействии с ним (информацию об оказании услуг и продаже товаров, переписку, договоры и пр.) в базах данных, которые напрямую не связаны друг с другом.

Роскомнадзор выпустил эти и другие рекомендации из-за того, что в последнее время стало больше случаев незаконного распространения персональных данных. Он сформулировал меры с учетом анализа утечек.

Информация Роскомнадзора от 08.08.2023 (https://rkn.gov.ru/news/rsoc/news74733.htm) Какие меры по защите персональных данных нужно принимать при их обработке

ЭНЦИКЛОМЕДИКА