Ваш город: г. Москва

Защита персональных данных в медицинских учреждениях

Защита персональных данных в медицинских учреждениях

На данный момент законодательные акты четко требуют от компаний и организаций в области здравоохранения (учреждений здравоохранения, фонда обязательного медицинского страхования (ОМС), страховых медицинских организаций) обеспечения защиты персональных данных - как пациентов, так и собственных сотрудников.

Мы уже писали о требованиях Федерального закона от 27.07.2006 г. 152-ФЗ «О персональных данных» - они общеизвестны. Приведем лишь несколько цитат из Федерального закона от 21 ноября 2011 года N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».

1. Медицинская организация обязана:

4) соблюдать врачебную тайну, в том числе конфиденциальность персональных данных, используемых в медицинских информационных системах;

Обеспечение защиты персональных данных требуется и в случае оказания телемедицинских услуг

Применение телемедицинских технологий при оказании медицинской помощи осуществляется с соблюдением требований, установленных законодательством Российской Федерации в области персональных данных, и соблюдением врачебной тайны.

Создаваемые медицинские информационные системы, содержащие данные о пациентах, об оказываемой им медицинской помощи, о медицинской деятельности медицинских организаций должны создаваться также с соблюдением требований, установленных законодательством Российской Федерации в области персональных данных.

Обработка персональных данных в информационных системах в сфере здравоохранения осуществляется с соблюдением требований, установленных законодательством Российской Федерации в области персональных данных, и соблюдением врачебной тайны.

Напомним, что персональные данные это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных - ст. 3 ФЗ-152), в том числе сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (Указ Президента РФ № 188 от 06.03.1997). В медицинских учреждениях персональные данные могут находиться в личных делах сотрудников, записях в базе данных программ расчета заработной платы,  медицинских картах, базах данных, содержащих данные медицинской статистики

Следует учитывать, что 152-ФЗ относит данные о состоянии здоровья пациента к специальной категории ПДн, обработка которых разрешается только при наличии письменного согласия субъекта ПДн или в исключительных случаях, предусмотренных статьей 10 данного закона (в случаях когда обработка ПДн необходима для защиты жизни или здоровья субъекта, либо жизни и здоровья других лиц, и получение согласия субъекта невозможно или когда обработка ПДн осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка ПДн осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну).

 

Персональными данными может оказаться любая информация, которая как мы уже указывали выше позволяет так или иначе идентифицировать субъекта ПДн. Судебные решения это утверждение только подтверждают. Так, согласно этим решениям персональными данными являются:

 

  • информация о смерти физического лица (постановление АС Поволжского округа от 25.09.2014 по делу № А49-2005/2014);
  • номер мобильного телефона (апелляционное определение Алтайского краевого суда от 29.09.2015  по делу № 33–9241/2015);
  • фотографии физического лица (апелляционное определение Свердловского областного суда от 09.04.2015 по делу № 33–5232/2015).

Обработкой ПДн являются любые действия с персональными данными начиная от их сбора, в том числе хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение. Любое юридическое или физическое лицо, организующее и/или осуществляющее обработку ПД, а также определяющее цели и содержание их обработки, согласно требований закона является оператором ПДн и обязано осуществлять защиту персональных данных.

При этом обеспечиваться защита должна с помощью продуктов, прошедших в установленном порядке процедуру оценки соответствия (ст. 19 152-ФЗ) в форме сертификации. Это например декларируется в Приказе ФСТЭК России № 21 от 18.02.2013:

Меры по обеспечению безопасности персональных данных реализуются в том числе посредством применения в информационной системе средств защиты информации, прошедших в установленном порядке процедуру оценки соответствия.

В качестве примера сертифицированных решений можно привести Dr.Web Enterprise Security Suite компании «Доктор Веб». Данная линейка решений имеет сертификаты ФСТЭК России (сертификат действует до 27.01.2025), ФСБ России, Министерства обороны Российской Федерации. Это позволяет использовать их для защиты:

 

  • ИСПДн до 1го уровня защищенности включительно;
  • ГИС и МИС до 1го класса защищенности включительно;
  • объектов критической инфраструктуры вплоть до высшего уровня;
  • систем обработки сведений, содержащих государственную тайну.
Dr.Web Enterprise Security Suite внесен в «Единый реестр российских программ для электронных вычислительных машин и баз данных» Министерства связи и массовых коммуникаций РФ.

 


 

Читайте похожие статьи:

Вы можете оставить комментарий:

Хотите обсудить вопрос по Вашей задаче?

Введите интересующую информацию и наш менеджер Вам ответит