Персональные данные пациентов в медицинских организациях: требования к обработке и ответственность

Пока государство не внедрило общую медицинскую информационную систему каждое лечебное учреждение вынуждено решать проблему защиты персональных данных самостоятельно. Из-за отсутствия единого подхода к безопасности, в медицинских учреждениях регулярно возникают проблемы утечки конфиденциальной информации. Пути решения этого вопроса обсуждались во время XVIII Ассамблеи «Здоровая Москва».

Что относят к персональным данным (ПДн) в медицине?

К категории простых ПДн относят следующую информацию о пациентах и сотрудниках клиники:

  • фамилия, имя, отчество;
  • информация о дате и месте рождения;
  • антропометрические показатели (рост, вес);
  • фотографии;
  • место жительства, контактные телефоны.

Когда речь идет о медицинском учреждении, к перечисленным пунктам добавляются персональные данные специальной категории. Это сведения о состоянии здоровья пациента, причины его обращения за медицинской помощью, диагноз и особенности лечения. Эти специальные сведения объединяют термином «врачебная тайна».

Работа с ПДн в медицине

Разглашать врачебную тайну запрещено даже после смерти пациента. При этом клиники обязаны хранить данные о здоровье каждого обратившегося человека в виде медицинской карты. Проблема утечки информации может возникнуть на каждом этапе взаимодействия персонала медучреждения с личными карточками больных.

Обработка ПДн пациентов состоит из таких этапов:

  • сбор и запись сведений;
  • систематизация полученных данных;
  • хранение информации в базе;
  • уточнение деталей (при необходимости);
  • уничтожение неактуальной информации.

Защита должна быть предусмотрена при каждом контакте персонала с медицинскими картами больных. Добиться этого в лечебных учреждениях сложно.

Когда можно разглашать ПДн в медицине?

Юристы выделяют ряд законных оснований, позволяющих раскрыть врачебную тайну:

  • необходимость оказания срочной медицинской помощи больному, который не в состоянии подтвердить свое согласие на разглашение (отсутствие сознания, критическое состояние, психические расстройства);
  • по запросу органов следствия, прокуратуры, суда и т.д.;
  • если пациенту еще не исполнилось 15 лет (информация передается родителям или другим законным представителям ребенка);
  • при поступлении больных с насильственным характером травм (врачи обязаны сообщить в органы полиции о факте совершения преступления);
  • в ходе расследования причин производственных травм и профессиональных заболеваний;
  • во время проверки Роскомнадзора.

Во всех остальных случаях защита персональной информации пациента охраняется законом РФ.

Специфика защиты ПДн в медицинских учреждениях

Каждая частная клиника и государственная больница ежедневно обрабатывает огромный объем данных о пациентах. Доступ к этой информации должны иметь только сотрудники медучреждения. Во многих государственных поликлиниках России переход на электронный документооборот и автоматизированный учет до сих пор не завершился. Это снижает уровень безопасности обработки и хранения персональной информации больных.

Использование современных информационных систем выводит этот процесс на новый уровень удобства и защиты. Сегодня используется три эффективных инструмента безопасной обработки персональных данных в больницах:

  • специальные приложения с локальным или сетевым хранилищем;
  • медицинские информационные системы (МИС), работающие в пределах конкретного медцентра;
  • облачные программы сбора и хранения информации.

Еще в 2011 году Министерством здравоохранения и социального развития Российской Федерации была разработана концепция создания единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ). Говоря проще, это идея объединения всех локальных информационных систем больниц в единую базу. Ее реализации до сих пор препятствует слабое техническое оснащение многих государственных медицинских центров. В связи с этим вопрос защиты и хранения ПДн до сих пор решается отдельно в каждом лечебном учреждении.

Организация безопасной обработки и хранения ПДн пациентов входит в ответственность главного врача. Он выбирает медицинскую информационную систему для медучреждения и следит за уровнем защиты информации.

Приобретать МИС можно только из перечня программных продуктов, представленных в «Едином реестре российских программ для электронных вычислительных машин и баз данных». Этот список утверждается и постоянно обновляется Министерством связи РФ. Сегодня он насчитывает более ста предложений российской разработки. С 1 января 2016 года российским медицинским учреждениям запрещено использовать иностранные программы для работы с персональными сведениями пациентов.

Какие МИС для обработки и защиты персональных данных используют российские медучреждения?

Локальные МИС разделены на модули. Каждая клиника выбирает функциональное ПО в соответствии со структурой и сферой деятельности. Требованиям Федерального закона «О персональных данных» отвечают следующие программные продукты:

  • MEDODS;
  • МедОфис;
  • Medesk;
  • Инфоклиника;
  • MedElement;
  • Clinic365;
  • IDENT;
  • Renovatio.

Каждая из представленных информационных систем имеет свой алгоритм обеспечения безопасности личных сведений. Так, в MEDODS передача данных шифруется по криптографическому протоколу TLS. Платформа Medesk обеспечивает информационную безопасность за счет фрагментарной архитектуры построения, которая разбивает общий информационный массив на ячейки.

При использовании перечисленных МИС риск взлома и кражи персональных данных минимален. Однако важно ограничить доступ к работе с базами посторонним людям. Для этого руководство клиники должно предпринять комплекс мер, включающий пропускную систему доступа, круглосуточное видеонаблюдение, многоуровневую систему паролей. Это поможет избежать преднамеренного воровства личных сведений пациентов и сотрудников.

В борьбе за защиту персональных данных в медицине не стоит забывать о регулярном ознакомлении сотрудников клиник с положениями законодательства РФ. Часто утечка информации происходит неосознанно, в результате невнимательного отношения врачей и младшего медицинского персонала к сохранению врачебной тайны. В прошлом году более 100 врачей в разных регионах были наказаны за такие нарушения.

Выводы

Сегодня эксперты оценивают уровень безопасности персональных данных в государственных и частных медицинских центрах нашей страны, как низкий. Это связано с недостаточной квалификацией персонала, отсутствием единой системы информационной защиты, недостаточным уровнем контроля. Решение этих проблем требует четкого государственного регулирования и внедрения нового программного обеспечения.

Обработка персональных данных

Обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение (ст. 3 Закона № 152-ФЗ).

Как было сказано выше, перед получением от пациента информации медицинская организация должна запросить у него согласие на обработку персональных данных (ст. 6, ст. 10 Закона № 152-ФЗ).

Пациент вправе полностью или частично отказаться от предоставления согласия на обработку персональных данных. Поэтому медицинской организации следует правильно подходить к виду и объему запрашиваемой информации. В обработку нужно запрашивать только те сведения, которые отвечают ее целям. Сведения не должны быть избыточными (ст. 5 Закона № 152-ФЗ).

При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе следующую информацию:
– подтверждение факта обработки персональных данных;
– правовые основания и цели обработки;
– цели и применяемые способы обработки;
– наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании положений законодательства;
– обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен положениями законодательства;
– сроки обработки персональных данных, в том числе сроки их хранения;
– порядок осуществления субъектом персональных данных прав, предусмотренных Законом № 152-ФЗ;
– информацию об осуществленной или о предполагаемой трансграничной передаче персональных данных;
– наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
– иные сведения, предусмотренные Законом № 152-ФЗ или другими федеральными законами.

Согласие на обработку персональных данных может быть получено в электронной либо в письменной форме.

При этом согласие на обработку биометрических данных необходимо получить от пациента именно в письменной форме (ст. 11 Закона № 152-ФЗ), так как они представляют собой сведения, которые характеризуют физиологические и биологические особенности на основании которых можно установить личность.

Бумажный документ должен содержать следующие реквизиты (п. 4 ст. 9 Закона № 152-ФЗ):
– фамилию, имя, отчество, адрес пациента, номер основного документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе;
– Ф.И.О., адрес представителя пациента, номер основного документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя пациента (при получении согласия от него);
– наименование медицинской организации;
– цель обработки персональных данных;
– перечень персональных данных, на обработку которых пациент дает согласие;
– наименование или Ф.И.О. и адрес лица, осуществляющего обработку персональных данных по поручению медицинской организации, если обработка будет поручена такому лицу;
– перечень действий с персональными данными, на совершение которых дается согласие, и общее описание используемых способов обработки персональных данных;
– срок, в течение которого действует согласие пациента, а также способ отзыва такого согласия, если иное не установлено законодательством;
– подпись пациента.

Также обратите внимание, что при заключении договора с пациентом медицинская организация обязана предоставить ему информацию о номере своей лицензии, сроке ее действия и выдавшем ее органе. Такую информацию можно включить непосредственно в договор либо прописать в нем ссылку на источник откуда можно получить информацию.

При заключении договора на сложные и дорогостоящие услуги пациенту следует предложить под роспись ознакомиться с описанием этих услуг, способами их оказания, возможными последствиями и т. д.

От пациента обязательно потребуется получить информированное добровольное согласие на медицинское вмешательство (на анестезиологическое обеспечение медицинского вмешательства, на оперативное вмешательство, в том числе переливание крови и ее компонентов, и т. д.). Его следует оформить в письменном виде – записью в истории болезни, заверенной подписью самого пациента (его законного представителя) либо его отдельной распиской или заявлением. С 1 января 2018 года согласие также можно оформить в виде электронного документа, подписанного усиленной квалифицированной или простой электронной подписью пациента (его законного представителя) и электронной подписью медицинского работника.

Если состояние пациента не позволяет ему выразить свою волю, а медицинское вмешательство неотложно, вопрос о его проведении решают консилиум или лечащий врач.

Медицинское вмешательство без информированного добровольного согласия также возможно в отношении пациентов:
– страдающих заболеваниями, представляющими опасность для окружающих;
– страдающих тяжелыми психическими расстройствами;
– совершивших общественно опасные деяния (преступления);
– направленных на судебно-медицинскую и (или) судебно-психиатрическую экспертизы.

Безопасно ли сообщать данные полиса ОМС?

Непосредственно номер полиса ОМС мошенников обычно не интересует (теоретически можно предположить, что, узнав его и другие персональные данные, злоумышленники получат информацию о состоянии здоровья человека и начнут его шантажировать). Но, как предупреждают в Федеральном фонде обязательного медицинского страхования (ФФОМС), страховое мошенничество возможно и с полисами ОМС.

Вопрос-ответ Какая компенсация положена пациенту, если ему поставили неверный диагноз?

Как сообщается на официальном сайте фонда, мошенники могут рассылать письма с предложением проверить свой полис ОМС и получить якобы положенные выплаты за неиспользованные медицинские услуги. Для этого указана ссылка на сайт, где можно заполнить форму и узнать полагающуюся «компенсацию». После ввода персональных данных на экране появляется сумма, но чтобы ее получить, человеку предлагают оплатить организационные расходы. Далее пользователя просят указать номер банковской карты якобы для зачисления денег. После чего мошенники получают доступ к данным карты и возможность снять с нее денежные средства.

Во Всероссийском союзе страховщиков предупреждают, что монетизировать страховые взносы по полису ОМС невозможно. В ФФОМС призывают граждан в случае возникновения вопросов, касающихся обязательного медицинского страхования, звонить по телефонам горячих линий и контакт-центров, указанным на сайтах ФФОМС России, его территориальных подразделений и страховых медицинских организаций.

В фонде также отмечают, что требовать предоставить данные полиса у застрахованного лица может медицинская организация при оказании медицинских услуг, но при этом законодательство не предоставляет ей права отказать в предоставлении медицинской помощи либо уменьшить объем ее оказания в связи с несогласием пациента на обработку персональных данных.

В каких случаях и кто имеет право запрашивать персональные данные?

К работе с персональной информацией допускаются исключительно медработники, имеющие соответствующую квалификацию, а по запросу доступ к персональным данным может быть предоставлен законному представителю пациента (ст. 26 Гражданского кодекса РФ) — родителям, усыновителям, попечителям. Законный представитель имеет право выполнять от имени пациента любые действия, а также определять лиц, которым будет разглашаться информация, являющаяся врачебной тайной пациента.

Также, согласно части 3 и части 4 статьи 13 федерального закона N 323-ФЗ от 21.11.2011, с письменного согласия гражданина или его законного представителя допускается предоставление сведений, составляющих врачебную тайну, другим гражданам, в том числе должностным лицам, в целях медицинского обследования и лечения пациента, проведения научных исследований, опубликования сведений в научных изданиях, использования в учебном процессе и пр.

В каких случаях разглашение сведений не требует согласия пациента?

Без согласия гражданина или его законного представителя разглашение персональных медицинских данных допускается:

— в целях проведения медицинского обследования и лечения гражданина, который в результате своего состояния не способен выразить свою волю;

— при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;

— для контроля лечения или диагностики лиц, признанных больными наркоманией либо потребляющими наркотические или психотропные вещества;

— в случае оказания медицинской помощи несовершеннолетнему;

— в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий;

Вопрос-ответ Можно ли снимать на камеру свой визит к врачу?

— в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов, кадровых служб и военно-врачебных (врачебно-летных) комиссий;

— в целях расследования несчастного случая на производстве и профессионального заболевания, а также несчастного случая во время обучения, прохождения спортивной подготовки, участия в спортивных соревнованиях;

— при обмене информацией медицинскими организациями;

— в целях осуществления учета и контроля в системе обязательного социального страхования;

— в целях осуществления контроля качества и безопасности медицинской деятельности;

— по запросу органов дознания и следствия или суда в связи с проведением расследования либо судебным разбирательством. При этом адвокаты не входят в круг должностных лиц, которые имеют доступ к сведениям, составляющим врачебную тайну. Но гражданин вправе наделить своего адвоката полномочиями получить в медицинской организации сведения о состоянии своего здоровья, а также медицинскую документацию. Для этого адвокат должен представить в медорганизацию соглашение с гражданином об оказании адвокатских услуг, где будет указано такое право, или выписанную на него доверенность с правом получения сведений и документов, составляющих врачебную тайну.

Также, в соответствии со статьей 6 федерального закона № 152-ФЗ, при необходимости предоставления срочной медпомощи (в случае техногенных катастроф, стихийных бедствий, при реальной угрозе его жизни и здоровью), согласие на обработку персональных данных не требуется.

About the author

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *