Персональные данные врача

Персональные данные врача

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с ЗАО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.

В рамках круглого стола речь пойдет о Всероссийской диспансеризации взрослого населения и контроле за ее проведением; популяризации медосмотров и диспансеризации; всеобщей вакцинации и т.п.

Программа, разработана совместно с ЗАО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Пациент не дает согласие на обработку персональных данных при обращении за медицинской помощью в плановом порядке (не экстренном).
1) На основании какой нормы закона поликлиника имеет право требовать согласие на обработку персональных данных?
2) На основании какой нормы закона следует отказать в предоставлении стоматологических услуг в связи с отказом предоставления согласия на обработку персональных данных?
3) На основании какой нормы закона пациент обязан дать согласие на обработку персональных данных?
4) Какую помощь следует оказать пациенту, если он не дает согласие на обработку персональных данных по ОМС при наличии страхового полиса?

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Прибыткова Мария

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.

————————————————————————-
*(1) Однако надлежит обратить внимание на то, что содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки (ч. 5 ст. 5 Закона N 152-ФЗ). Следовательно, если поликлиника собирается обрабатывать персональные данные пациента в целях, не связанных непосредственно с исполнением договора, то такая обработка без согласия пациента будет незаконной.

Источник: http://www.garant.ru/consult/civil_law/1275083/

Персональные данные врача

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с ЗАО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.

В рамках круглого стола речь пойдет о Всероссийской диспансеризации взрослого населения и контроле за ее проведением; популяризации медосмотров и диспансеризации; всеобщей вакцинации и т.п.

Программа, разработана совместно с ЗАО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

В медицинское учреждение, работающее в системе обязательного медицинского страхования, поступило обращение об отзыве согласия на обработку персональных данных. Пациент требует уничтожить все имеющиеся о нем у учреждения данные.
Каковы действия учреждения в таком случае?

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Амирова Лариса

Ответ прошел контроль качества

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.

————————————————————————-
*(1) Страховой случай — совершившееся событие (заболевание, травма, иное состояние здоровья застрахованного лица, профилактические мероприятия), при наступлении которого застрахованному лицу предоставляется страховое обеспечение по обязательному медицинскому страхованию (п. 4 ст. 3 Закона N 326-ФЗ).

© ООО «НПП «ГАРАНТ-СЕРВИС», 2020. Система ГАРАНТ выпускается с 1990 года. Компания «Гарант» и ее партнеры являются участниками Российской ассоциации правовой информации ГАРАНТ.

Все права на материалы сайта ГАРАНТ.РУ принадлежат ООО «НПП «ГАРАНТ-СЕРВИС». Полное или частичное воспроизведение материалов возможно только по письменному разрешению правообладателя. Правила использования портала.

Портал ГАРАНТ.РУ зарегистрирован в качестве сетевого издания Федеральной службой по надзору в сфере связи,
информационных технологий и массовых коммуникаций (Роскомнадзором), Эл № ФС77-58365 от 18 июня 2014 года.

ООО «НПП «ГАРАНТ-СЕРВИС», 119234, г. Москва, ул. Ленинские горы, д. 1, стр. 77, [email protected].

8-800-200-88-88
(бесплатный междугородный звонок)

Редакция: +7 (495) 647-62-38 (доб. 3145), [email protected]

Отдел рекламы: +7 (495) 647-62-38 (доб. 3136), [email protected]. Реклама на портале. Медиакит

Если вы заметили опечатку в тексте,
выделите ее и нажмите Ctrl+Enter

Источник: http://www.garant.ru/consult/civil_law/1299054/

Медицинский сайт-отзовик выиграл дело об обработке персональных данных врачей без их согласия

Wavebreakmedia / Depositphotos.com

Районный суд (первая инстанция) подтвердил право интернет-ресурса на публикацию отзывов о работе врача, а, значит, на обработку общедоступных персональных данных врача без его согласия, тем более, если спорный электронный ресурс имеет статус СМИ (решение Центрального районного суда г. Воронежа Воронежской области от 28 ноября 2018 г. по делу № 2-2794/2018).

Поводом к иску стали негативные – и притом, частью, анонимные, – отзывы пациентов о работе медика, опубликованные на «медицинском отзовике». Сначала врач потребовал от администратора домена просто удалить эти отзывы. Администратор – он же владелец сайта – проверил доводы жалобы, но отзывы удалять не стал.

Тогда врач и его адвокат заявили к порталу иск о прекращении обработки персональных данных (другими словами, о публикации профиля – ФИО, места работы и должности): согласно закону, для такой обработки требуется письменное согласие субъекта персональных данных, а истец, разумеется, его не подписывал (ч. 4 ст. 9 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; далее – Закон о персональных данных).

Портал оборонялся следующим:

• во-первых, он указал на свой статус СМИ, и заявил, что запрет на работу с персональными данными врачей фактически означает цензуру и нарушает право СМИ о доведении информации до заинтересованных лиц и пациентов,
• во-вторых, информацию о врачах размещает вовсе не сам портал, а авторы отзывов (что подтверждается распечаткой журнала о сведениях по детальном действиям владельца IP адреса сайта),
• в-третьих, у врача всегда есть право на опровержение негативных отзывов,
• а в-четвертых, указал, что истинная причина иска – необходимость скрыть недостатки своей работы (в подтверждение данного довода представлено заключение центра психологии и бизнес консультирования).

В итоге суд полностью отказал медработнику в его требованиях (прекратить обработку данных и компенсировать моральный вред). Мотивы следующие:

Вывод: персональные данные врача публикуются на сайте его работодателя (медорганизации) в силу публичной деятельности врача, и их воспроизведение на портале с отзывами пациентов не нарушает конституционные права медработника.

Отметим, что истец не согласен с решением суда и подал апелляционную жалобу в региональный суд.

Источник: http://www.garant.ru/news/1235679/

Обработка персональных данных

Политика обработки персональных данных пользователей

Настоящая Политика обработки персональных данных (далее – Политика) сайта «ПроДокторов» (далее — Сайта) действует в отношении всей информации, которую Администрация сайта «ПроДокторов» (далее – Администрация Сайта) может получить о пользователе во время использования им любого сервисов, служб, программ и продуктов (далее – Сервисы) и является неотъемлемой частью Пользовательского соглашения. Согласие пользователя на предоставление персональной информации, данное им в соответствии с настоящей Политикой в рамках использования одного из Сервисов, распространяется на все Сервисы Сайта.

Использование Сервисов Сайта означает безоговорочное согласие Пользователя с настоящей Политикой и указанными в ней условиями обработки его персональной информации; в случае несогласия с этими условиями Пользователь должен воздержаться от использования Сервисов Сайта.

Политика обработки общедоступных персональных данных

Настоящая Политика обработки общедоступных персональных данных (далее – Политика) сайта «ПроДокторов» (далее — Сайта) действует в отношении всей информации, которая определяется действующим законодательством РФ как общедоступные персональные данные, и доступ к которой можно получить на Сайте, и является неотъемлемой частью Пользовательского соглашения.

Использование Сервисов Сайта означает безоговорочное согласие Пользователя с настоящей Политикой; в случае несогласия с этими условиями Пользователь должен воздержаться от использования Сервисов Сайта.

Политика в области конфиденциальной информации

Политика публикации материалов (далее — Политика) определяет правила получения, хранения, передачи и обработки конфиденциальной информации Пользователей на Сайте и является неотъемлемой часть Пользовательского соглашения.

Использование Сервисов Сайта означает безоговорочное согласие Пользователя с настоящей Политикой; в случае несогласия с этими условиями Пользователь должен воздержаться от использования Сервисов Сайта.

Источник: http://prodoctorov.ru/info/privacy-policy/

Суд: публикация профиля врача на портале «ПроДокторов» без его согласия – законна

Центральный районный суд Воронежа отказался удовлетворить иск врача к порталу «ПроДокторов» с требованием удалить из сети информацию о ней, потому что она не давала согласия на обработку персональных данных. Ей было также отказано во взыскании компенсации морального вреда в размере 150 тыс. руб.

В своем заявлении Татьяна Гладышева просила «возложить на ответчика обязанность прекратить обработку персональных данных и полностью удалить с сайта «ПроДокторов» ее профиль, ссылаясь на нарушение федерального закона № 152-ФЗ «О персональных данных».

Ответчик настаивал на том, что «ПроДокторов» имеет статус электронного СМИ, поэтому вправе использовать общедоступные данные о лечебных заведениях и работающих там врачах. Удаление таких данных нарушит право СМИ о доведении информации до пациентов и других заинтересованных лиц, а также будет являться фактом цензуры, что недопустимо.

Суд согласился с доводами ответчика и в своем решении привел ответ Роскомнадзора, в котором говорится, что публикация и обработка персональных данных работников медицинских организаций не противоречит требованиям законодательства РФ в области персональных данных. Согласно разъяснениям Пленума Верховного суда РФ, предусмотрен запрет на распространение в СМИ сведений о личной жизни граждан, если от них самих или от их законных представителей не было получено на то согласие, за исключением случаев, когда это необходимо для защиты общественных интересов. В данном случае таковым является интерес к качеству оказанию медицинских услуг.

Закон «Об основах охраны здоровья граждан в РФ» предусматривает необходимость информировать граждан в доступной форме об осуществляемой медицинской деятельности, о медицинских работниках ЛПУ, об уровне их образования и квалификации, а также предоставлять иные сведения для проведения независимой оценки качества оказания услуг медицинскими организациями.

«Суд приходит к выводу о том, что портал «ПроДокторов» как орган СМИ, размещая на портале профиль Гладышевой Т.В., содержащий в том числе и персональные данные, не нарушил права истца и требования закона «О персональных данных», – сказано в решении Центрального районного суда Воронежа. – Также суд считает необходимым отметить, что использованные ответчиком персональные данные истца не относятся к сведениям, которые СМИ не вправе разглашать в соответствии законом «О СМИ».

Источник: http://medvestnik.ru/content/news/Sud-publikaciya-profilya-vracha-na-portale-ProDoktorov-bez-ego-soglasiya-zakonna.html

Право пациента на защиту персональных данных

Персональные данные представляют собой любую информацию, относящеюся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных) (п.1 ст. 3 Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»). Медицинская организация обязана обеспечивать право пациента на защиту персональных данных в целях защиты его права на неприкосновенность частной жизни, личной и семейной тайны (ст. 22-24 Конституции РФ).

В данной статье будет рассмотрено, что включает в себя право на защиту персональных данных.

Правовые основы защиты персональных данных

• Конституция РФ;
• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон о персональных данных);
• Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» (далее — Закон об основах охраны здоровья);
• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (далее — Закон о защите информации);
• Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации»;
• иные нормативно-правовые акты.

Система защиты персональных данных

Медицинская организация, являясь оператором персональных данных, обязана обеспечить надежную защиту получаемых в ее распоряжение данных о пациенте. Персональные данные, обрабатываемые в медицине, должны быть защищены на очень высоком уровне защиты, что обеспечивается путем создания специальной системы персональных данных. В соответствии со ст. 78 Закона об основах охраны здоровья граждан медицинские организации имеют право создавать локальные информационные системы, содержащие данные о пациентах и об оказываемых им медицинских услугах, с соблюдением установленных законодательством Российской Федерации требований о защите персональных данных и соблюдением врачебной тайны.

Создание систем защиты персональных данных регламентируется Законом о персональных данных и принятым в соответствии с ним Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее — Постановление Правительства РФ № 1119).

В соответствии с данным Постановлением правительства система защиты персональных включает в себя: организационную защиту (журналы, приказы и пр.) и техническую защиту (при автоматизированном способе обработки персональных данных).

Выбор средств защиты информации для системы защиты персональных данных осуществляется в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю (п. 4 Постановления Правительства РФ № 1119).

При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных.

Медицинские организации могут самостоятельно выполнить мероприятия по обеспечению защиты персональных данных, но более надежным является прибегнуть к помощи специалистов. Такими знатоками являются организации, имеющие лицензию на техническую защиту конфиденциальной информации и специализирующиеся на создании и внедрении систем защиты персональных данных.

Соотношение понятий персональные данные и врачебная тайна

Врачебная тайна представляет собой сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении. Соблюдение врачебной тайны является одним из основных принципов охраны здоровья (ст. 4 Закона об основах охраны здоровья). Врачебная тайна является особым режимом информации с ограниченным доступом. Если сравнивать понятия «персональные данные» и «врачебная тайна», то последнее является более узким понятием. Врачебная тайна выступает видом персональных данных, который становится известным медицинской организации при оказании медицинских услуг. Однако пациент имеет право на защиту любой информации о нем, которая стала известна медицинской организации.

Конфиденциальность персональных данных

Медицинские организации, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия пациента, если иное не предусмотрено федеральным законом (ст. 7 Закона о персональных данных).

Получение согласие пациента на обработку персональных данных

Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных действующим законодательством. Однако, не всегда требуется согласие пациента на обработку персональных данных. К таким данным, например, относятся паспортные данные, предоставленные пациентом в договоре на оказание медицинских услуг, данные о национальной принадлежности, политических взглядах, религиозных убеждениях.

Следует отметить, что действующее законодательство четко предписывает получать письменное согласие пациента на обработку биометрических данных (ст. 11 Закона о защите персональных данных).

К биометрическим данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. В частности, к таким данным относятся рентгенологические данные.

Содержание согласия на обработку персональных данных

Согласие в письменной форме пациента на обработку его персональных данных должно включать в себя, в частности:

• фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
• фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого представителя (при получении согласия от представителя субъекта персональных данных);
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
• наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
• иные сведения, указанные в п.4 ст. 9 Закона о персональных данных.

Предоставление персональных данных пациента третьим лицам

В ст. 2 Закона о защите информации под предоставлением информации понимаются действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц.

Закон об основах охраны здоровья разрешает медицинской организации разглашать другим лицам сведения, составляющие врачебную тайну (иные персональные данные пациента) только с письменного согласия пациента (его законного представителя).

Разглашение сведений, составляющих врачебную тайну, другим гражданам, в том числе должностным лицам, в целях медицинского обследования и лечения пациента, проведения научных исследований, их опубликования в научных изданиях, использования в учебном процессе и в иных целях без согласия пациента также не допускается (ст. 13 Закона об основах охраны здоровья).

Адвокатские запросы на получение персональных данных пациента

На практике часто бывают случаи, когда адвокаты направляют в медицинские организации адвокатские запросы (не имея согласия пациента на разглашение врачебной тайны) на получение данных о конкретном человеке: о факте обращения, нахождения, диагнозе и прочее.

В таких запросах адвокаты ссылаются на п.3. ст.6 Федерального закона от 31 мая 2002 г. № 63-ФЗ «Об адвокатской деятельности и адвокатуре в Российской Федерации», в соответствии с которым организации обязаны выдавать адвокату запрошенные им документы или их заверенные копии, необходимые для оказания юридической помощи в порядке, установленном действующим законодательством.

Однако, как сказано выше в данной статье в соответствии с п. 4 ст. 13 Закона об основах охраны здоровья только закрытый перечень лиц может получать сведения, составляющие врачебную тайну. Адвокаты не относятся к субъектам, которым врачебная тайна может быть предоставлена без согласия гражданина.

Ответственность за нарушение права на защиту персональных данных

Лица, виновные в нарушении требований действующего законодательства в области защиты персональных данных, несут предусмотренную законодательством Российской Федерации ответственность.

Так действующим законодательством предусмотрена административная ответственность, в частности, за:

• Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) в виде предупреждения или наложения административного штрафа на граждан в размере от 300 до 500 рублей; на должностных лиц — от 500 до 1000 рублей; на юридических лиц — от 5000 тысяч до 10 000 тысяч рублей (ст. 13.11 КоАП РФ).
• Разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей в виде административного штрафа на граждан в размере от 500 до 1000 рублей; на должностных лиц — от 4000 до 5000 рублей (ст. 13.14 КоАП РФ).

Также возможно наступление уголовной ответственности, предусмотренной ст. 137 УК РФ (Нарушение неприкосновенности частной жизни) за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ. Для медицинского работника при использовании своего служебного положения это наказывается штрафом в размере от 100 000 до 300 000 рублей или в размере заработной платы или иного дохода осужденного за период от одного 1 до 2 лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет, либо принудительными работами на срок до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет или без такового, либо арестом на срок до 6 месяцев, либо лишением свободы на срок до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет.

Источник: http://kormed.ru/baza-znaniy/pravila-okazaniya-meduslug/prava-i-obyazannosti-patsienta/pravo-pacienta-na-zashchitu-personalnyh-dannyh/

Защита персональных данных по карману не всем ЛПУ

В медицинских организациях сегодня хранятся огромные массивы персональных данных, причем значительная их часть содержит в определенной степени секретную информацию о пациентах. Недавний случай с сетью лабораторий «Инвитро», когда из-за компьютерного вируса Petya работа компании была парализована на несколько дней, лишний раз показал, насколько уязвимыми могут быть информационные системы медучреждений.

С развитием цифровых технологий киберпреступность будет только набирать обороты. Готовы ли к этому медицинские организации?

Антивирус нынче дорог

Как и следовало ожидать, крупные коммерческие медцентры довольно уверенно чувствуют себя в этом плане и практически не боятся кибератак. Как рассказал порталу Medvestnik.ru инженер информационной безопасности ОАО «Медицина» Сергей Смолин, в их клинике надежная система защиты персональных и медицинских данных. Антивирусная защита автоматически обновляется каждые 4 часа, поиск уязвимостей осуществляется сканером безопасности в ежедневном режиме, базы последнего обновляются также ежедневно.

Информационная система клиники аттестована на соответствие требованиям федерального закона №152-ФЗ (о персональных данных), ежегодно проводятся независимые аудиты системы управления информационной безопасностью организации на соответствие требованиям стандарта ISO 27001-2013. Также каждый год IT-система клиники тестируется на «взлом». Постоянно осуществляется резервирование информации. Наличие актуальных резервных копий проверяется ежедневно, периодически проводится их тестирование на предмет восстановления и корректности восстановленной информации. Большое внимание уделяется информированию, обучению и тестированию ответственных за этот сектор сотрудников.

«Опыт последних лет показывает, что в самом наихудшем случае мы сможем восстановить работоспособность основных информационных систем клиники в период от 30 минут до полутора часов, при этом существует риск потери только той информации, которая была создана с момента последнего резервного копирования до момента аварии (как правило, это не более 6-8 часов). На время восстановления информационных систем в клинике предусмотрены процедуры работы на бумажных носителях», – сообщил Сергей Смолин.

В небольших частных медицинских организациях и государственных ЛПУ дела обстоят не так радужно — все упирается в финансирование

Как рассказала главный врач одного из подмосковных медицинских центров, не пожелавшая раскрывать свое имя, они защищают свою информацию только с помощью антивирусной программы «Лаборатории Касперского» и строго-настрого запрещают сотрудникам открывать электронные письма от неизвестных отправителей. Такая «беспечность» связана только с одним – с нехваткой оборотных средств.

Распределение утечек по типам данных, 2016 год

Источник: аналитический центр InfoWatch

Как сообщил порталу Medvestnik.ru руководитель Центра информационных технологий Боткинской больницы Анатолий Пыхтин, в их клинике предприняты достаточные меры безопасности. «Но нельзя забывать, что киберпреступность – это бич нашего времени, и от возможных кибератак сегодня не застрахован никто. В этом убедился весь мир на примерах вирусов Petya и WannaCry, от которых пострадали даже всемирно известные компании. Чтобы минимизировать угрозы, сотрудники информационной службы больницы регулярно проводят аудит системы, постоянно модернизируя программные и аппаратные средства защиты информации. Поскольку безопасность персональных данных пациентов – это первостепенная задача для нас, как крупнейшей многопрофильной клиники Москвы, мы в ежедневном режиме предпринимает все возможные меры как для защиты, так и для восстановления работоспособности системы обработки персональных данных в случае кибератак», — добавил он.

Врачам – закон

Несмотря на оптимистичные реляции представителей крупных клиник страны, проблемы с защитой, хранением и обработкой персональных данных в медицинских организациях страны остаются. Государство пытается регулировать ситуацию с помощью федерального закона №152-ФЗ от 2006 г., новыми изменениями в который предусмотрено ужесточение наказаний.

В соответствии с вступившими в силу изменениями, за нарушения в сфере обработки персональных данных будут наказывать строже.

С 1 июля 2017 года вносятся значительные изменения в ст. 13.11 КоАП. В частности, новая редакция кодекса будет предусматривать ответственность за обработку персональных данных в случаях, не предусмотренных законодательством, а также без получения письменного согласия на это их субъекта; необеспечение оператором обязанности по сохранности персональных данных при хранении их материальных носителей, если это привело к неправомерному или случайному доступу к персональным данным; невыполнение должностными лицами государственного или муниципального органа-оператора персональных данных обязанностей по обезличиванию персональных данных либо за нарушение требований к этому процессу.

Если обработка данных не соответствует заявленным целям, оштрафовать теперь могут на сумму от 30 до 50 тыс. рублей; при отсутствии письменного согласия субъекта (пациента или сотрудника) на обработку его персональных данных – от 15 до 75 тыс.; если медорганизация не разместила в открытом доступе документ, определяющий политику обработки персональных данных и требования к их защите – от 15 до 30 тыс.; за непредоставление в течение 30 дней информации пациенту по его персональным данным (по его запросу) – от 20 до 40 тыс.; за невыполнение в течение 7 дней обоснованного требования субъекта по уточнению или изменению его персональных данных – от 25 до 45 тыс.; за несанкционированный допуск к персональным данным – от 25 до 40 тыс. рублей.

Теперь, чтобы оштрафовать медорганизацию, представителям Роскомнадзора достаточно будет «погулять» по ее сайту. Предупреждать о такой проверке инспекторы не обязаны. При этом возбуждать дела об административных нарушениях отныне смогут сами проверяющие – без передачи информации в прокуратуру, как было раньше.

Смогут ли эти нововведения дисциплинировать клиники и в результате повысить культуру обращения с персональными данными и уровень их защиты или только в очередной раз увеличат нагрузку на медицинские учреждения – как организационную, так и финансовую?

«Ужесточение закона о персональных данных, безусловно, повысит нагрузку на медицинские организации. Вместе с тем со временем дисциплинирует и убедит их руководство в необходимости защиты данных. В дальнейшем эти меры помогут либо снизить, либо вообще исключить возможность использования таких данных злоумышленниками», – полагает Анатолий Пыхтин.

Заместитель директора по безопасности, начальник управления информационной безопасности Группы компаний «Медси» Дмитрий Горячев также оценил нововведения положительно: «Они заставят операторов персональных данных более внимательно относиться к выполнению требований федерального законодательства и подзаконных актов, обеспечивать как фактическую защиту данных – внедрять современные программно-аппаратные комплексы по их защите, так и заниматься всем необходимым документальным сопровождением в рамках выполнения требований законодательства».

Опрошенные главврачи небольших медицинских учреждений – как частных, так и государственных – видят в ужесточениях очередную попытку пополнить бюджет, в том числе и за их счет, поскольку допускаемые ими «нарушения» в части персональных данных зачастую свидетельствуют не о безалаберности, а, как правило, упираются в недостаточность финансирования. Кроме того, они отметили, что часто сталкиваются с некомпетентностью и предвзятостью проверяющих, и просили подчеркнуть, что они не против проверок как таковых, но ждут от них не неминуемых наказаний, как зачастую происходит сейчас, а объективного разбора ситуации с дальнейшей возможностью устранения обнаруженных недостатков. «Целью любой проверки должно стать не наказание, а исправление сложившегося положения дел, в этом мы, главврачи, заинтересованы как никто другой», – заявила главный врач подмосковного медцентра.

Человеческий фактор

К сожалению, глобальные усилия регуляторов в сфере защиты персональных данных пациентов не затрагивают участившихся случаев передачи медиками информации о тяжелобольных людях похоронным агентствам. По словам главного врача ГКБ №71 Александра Мясникова, такая проблема действительно существует. «И это мерзко. Я никогда не пойму врачей, которые за очень небольшие деньги продают совесть и преступают законы врачебной этики, как гиены карауля умирающего в надежде поживиться. К сожалению, их крайне трудно выявить. Мы иногда определяем, с какого телефона звонили в агентство, из какого отделения, вычисляем, кто был на дежурстве в это время, и предупреждаем: если только поймаем за руку или хотя бы подозрения будут достаточно обоснованы, сотрудник немедленно будет уволен. Но этих мер, конечно, недостаточно», — сетует он.

По данным компании InfoWatch, в 68% случаев виновными в утечке информации оказываются сотрудники, в 8% случаев — руководство организаций

Распределение утечек по виновнику, 2016 год

Вероятно, уже пришло время серьезно заняться этой проблемой и, называя вещи своими именами, перевести это деяние из разряда административного нарушения в преступление против личности. Остается только определиться, как правильно его квалифицировать и какую доказательную базу использовать для его раскрытия.

Партнер «Лиги защиты прав пациентов» адвокат Дмитрий Чипчиу разъясняет: «В действующем законодательстве нет какой-либо специальной нормы (статьи) уголовного права, предусматривающей ответственность за так называемую торговлю адресами умерших. Но такие деяния можно квалифицировать в рамках статьи 137 УК РФ – «Нарушение неприкосновенности частной жизни». За совершение преступления, подпадающего под часть 1 данной статьи (незаконное получение или распространение сведений о частной жизни лица, которые составляют его семейную или личную тайну, без его согласия и для получения личной выгоды), можно получить наказание до двух лет лишения свободы. Те же деяния, совершенные с использованием служебного положения, наказываются строже: медицинские работники могут быть лишены свободы на срок до четырех лет и права занимать определенные должности или заниматься определенной деятельностью на срок до пяти лет.

Конечно, поймать за руку занимающихся таким «промыслом» бывает непросто, но если это удалось, доказательной базой могут послужить показания свидетелей (коллег, пациентов, иных лиц), которым стали известны какие-либо обстоятельства, а также любые другие доказательства, например, записи телефонных разговоров, с видеокамер. В отечественной практике пока нет примеров возбуждения дел по ч. 2 ст. 137 УК РФ в отношении медицинских работников. Однако случались прецеденты, когда правоохранительным органам все же удавалось пресечь факты торговли адресами умерших, но тогда возбуждались совокупные уголовные дела – в отношении медицинских работников и работников участково-уполномоченных служб полиции, и совсем по другой статье – «получение взятки должностным лицом», отмечает адвокат.

Кстати, именно по этой статье накануне было возбуждено уголовное дело в отношении фельдшера Саратовской городской станции скорой медицинской помощи, пойманного на передаче сведений, составляющих врачебную тайну, представителям ритуальных компаний.

Источник: http://medvestnik.ru/content/articles/Zashita-personalnyh-dannyh-po-karmanu-ne-vsem-LPU.html

Электронная медицинская карта

Помогите пожалуйста составить запрос в Роскомнадзор. Я хочу получить официальный ответ от Роскомнадзора имею ли право запретить поликлинике вести на меня электронную медицинскую карту т.к не хочу, чтобы информация о моем здоровье попала в руки мошенников.

Вам не нужен запрос в роскомнадзор, хватит запроса в поликлинику на имя главврача, вам нужно написать что согласно ст 9 Федеральный закон «О персональных данных» и согласно ст 13 Федеральный закон от 21.11.2011 N 323-ФЗ (ред. от 27.12.2019) «Об основах охраны здоровья граждан в Российской Федерации» (с изм. и доп., вступ. В силу с 08.01.2020

Данные в медицинской карте могут поддаваться оцифровке на общедоступный сервер электронного учета в сети интернет ТОЛЬКО с согласия самого пациента, дальше пишите что вы (ваша Ф И О)не даете согласие на цифровизацию медицинской карты этого вполне должно хватить, если же каким то образом после этого ваша карта все равно будет электронно распространена то в этом случае уже можно жаловаться в роскомнадзор.

Добрый день, Ольга!

Обращайтесь к любому выбранному юристу в личное сообщение. Услуга, — платная, — ст. 779 ГК РФ.

Можете обратиться в личку к юристу за оказанием юридической помощи ст 779 ГК РФ. Для составления жалобы о нарушении Закона о персональных данных, Закона об охране здоровья граждан. А также в Минздрав обратиться.

Требования к обращению в государственный орган установлены ст. 7 ФЗ РФ «О порядке рассмотрения обращений граждан».

По существу вопроса о возможности запрета вносить Ваши данные в электронную мед. карту:

Указанные Вами сведения составляют Врачебную тайну, поэтому с точки зрения закона, доступ к ней посторонних лиц изначально не допускается.

В соответствии со ст.13 ФЗ «Об основах охраны здоровья граждан в Российской Федерации»:

1. Сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну.

При этом, разглашение сведений составляющих врачебную тайну допускается только с письменного согласия пациента. Исключение составляют ситуации указанные в ч.4 вышеназванной статьи. (предоставление сведений, составляющих врачебную тайну по запросу органов дознания, суда и т.д.)

Соответственно, разглашение данных сведений влечет ответственность предусмотренную законом. (например, Статья 137 УК РФ. Нарушение неприкосновенности частной жизни).

Однако Минздрав РФ вынес новый приказ от 14.06.2018 N 341 н (вступает в силу с 20 августа 2018 года). Согласно документу с целью защиты сведений от несанкционированного использования с одновременным сохранением возможности их дальнейшей обработки в единой электронной медкарте осуществляется обезличивание сведений.

Во-первых, ФИО, серия и номер паспорта, номер снилс, номер полиса ОМС, серия и номер листка нетрудоспособности заменяются уникальным 10-значным числом и 128-значным числовым идентификатором. При этом информация о пациенте удаляется, а в системе формируется таблица соответствия.

Во-вторых, все адреса и даты обрезаются до города и года.

Таким способом, по мнению Минздрава РФ, будет достигаться анонимность, то есть невозможность однозначной идентификации пациента.

Источник: http://www.9111.ru/questions/16774298/

Как работать с персональными данными пациентов?

Обычно факты нарушения происходят из-за тотального непонимания медработниками законодательных требований по работе с персональной информацией и врачебной тайной. Задача руководителя вести разъяснительную работу со всем персоналом медорганизации: с врачами, медсёстрами, санитарами, сотрудниками регистратуры и другими.

Чтобы помочь руководителям и работникам медицинских организаций разобраться в этом вопросе, «Академия профессионального развития» провела вебинар «Законодательные требования к организации работы с персональными данными пациента и врачебной тайной в медицинских организациях: формирование внутреннего документооборота». Экспертом выступила юрист Юлия Павлова

Защита персональных данных пациента регулируется Федеральным законом от 21 ноября 2011 года N 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» и Федеральным законом от 27 июля 2006 года N 152-ФЗ «О персональных данных». Также защита персональных данных пациента – обязательный элемент профстандартов.

Часто в правоприменительной практике юристы сталкиваются с тем, что средний медицинский персонал недооценивает необходимость сохранения врачебной тайны и персональной информации. В медицинском сообществе сложилось мнение, что это этическая норма. Да, правовой основой врачебной тайны является этика. Но эта этическая норма охраняется законом.

– Врачебная тайна – это не просто право пациента, это принцип охраны здоровья, – утверждает Павлова.

Врачебную тайну нельзя разглашать даже после смерти пациента. Смерть гражданина не влечёт прекращения режима конфиденциальности информации о состоянии его здоровья, фактах обращения за медицинской помощью, лечении и так далее. Сведения, полученные при обследовании и лечении, в том числе личного характера — врачебная тайна.

Охрана врачебной тайны после смерти — международная норма. Родственники получают копии медицинской документации, если пациент при жизни выразил согласие.

Суды признают правомерными отказы медицинских учреждений в предоставлении сведений, составляющих врачебную тайну, по запросам адвокатов. Даже если пациент заключил соглашение с адвокатом об оказании юридической помощи, адвокат не вправе требовать предоставления информации, составляющей врачебную тайну.

С письменного согласия гражданина или его законного представителя допускается разглашение врачебной тайны в целях:

• медицинского обследования и лечения пациента;
• проведения научных исследований, их опубликования в научных изданиях;
• использования в учебном процессе и в иных целях.

Законный представитель и представитель отличаются друг от друга в правовом смысле. Законные представители — родители, усыновители, опекуны и попечители. С 15 лет человек сам даёт согласие на отказ от медицинского вмешательства, и родители получают сведения о состоянии здоровья ребёнка только с его письменного согласия.

Павлова отмечает, что сейчас очень важен документооборот. Он является доказательной базой. Если согласие на обработку персональных данных подписывает ненадлежащий субъект — это пустая бумага.

Если человек не может подписать какой-то документ, то составляется акт, который подтвердит этот факт.

10 оснований для разглашения врачебной тайны

Предоставление сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя допускается:

1. для проведения медицинского обследования и лечения человека, который не в состоянии выразить свою волю;
2. при угрозе эпидемий, массовых отравлений и поражений;
3. по запросу:

• органов дознания и следствия, прокуратуры или суда во время расследования дела;
• органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и контролем поведения условно осуждённого или освобождённого условно-досрочно;
• органов исполнительной власти для контроля прохождения больными наркоманией лечения от наркомании и реабилитации, возложенного на них при назначении судом административного наказания.

1. при оказании медпомощи несовершеннолетнему до 15 лет (больному наркоманией – до 16 лет) для информирования родителей или других законных представителей;
2. для информирования полиции о поступлении пациента, вред здоровья которому причинён в результате противоправных действий;

Это не только право и законное основание для разглашения врачебной тайны, но ещё и обязанность медицинской организации.

1. для проведения военно-врачебной экспертизы по запросам военных комиссариатов, военно-врачебных комиссий;
2. для расследования профессионального заболевания или несчастного случая на производстве, в образовательной организации, в физкультурно-спортивной организации и во время спортивных соревнований;
3. при обмене информацией медицинскими организациями для оказания медицинской помощи;
4. для контроля в системе обязательного социального страхования;

– Когда эксперты запрашивают медицинскую документацию, то это законно, если это происходит в рамках осуществления ими контроля качества, – поясняет Павлова. – Поэтому это абсолютно нормально. Вот раньше для этого не было основания и непонятно было. Ну, был подзаконный акт, который это регулировал, а это не может регулироваться никаким приказом Минздрава. Это должна быть норма Федерального закона.

1. для контроля качества и безопасности медицинской деятельности.

Юлия Павлова советует не спешить предоставлять сведения. Сначала нужно удостовериться, что это сотрудники Росздравнадзора, которые имеют право получать сведения, проводить проверки, запрашивать медицинскую документацию и так далее. Сомневаетесь — спросите у юриста.

Требуется ли согласие пациента на видеонаблюдение в медорганизации?

Согласно Разъяснениям Роскомнадзора «О вопросах отнесения фото- и видеоизображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки» посетители публичных мест заранее извещаются администрацией о возможной фото- и видеосъёмке объявлениями и другими визуальными предупреждениями. При соблюдении указанных условий согласие пациента на фото- и видеосъёмку не требуется.

Системы аудио- и видеонаблюдения устанавливают для усиления безопасности и сохранности материальных ценностей и дорогостоящего оборудования, для внутреннего контроля качества и безопасности медицинской деятельности. Главное, чтобы эта информация не вышла за пределы медорганизации.

Как ведётся обработка персональных данных?

Обработка персональной информации производится только с согласия пациента и включает в себя:

• сбор, запись и систематизацию;
• накопление, хранение и уточнение – обновление или изменение;
• использование и передачу;
• обезличивание, блокирование и уничтожение.

Исключения:

• обработка персональных данных для защиты жизни, здоровья или иных жизненно важных интересов пациента, если получение его согласия невозможно;
• обработка персональных данных в медико-профилактических целях, в целях установления диагноза, оказания медицинских услуг при условии, что работу осуществляет профессиональный медицинский работник, который обязан сохранять врачебную тайну.

Отказ от подписания согласия на обработку персональных данных не может служить основанием для отказа от оказания медицинской помощи!

Сообщать такие сведения – право, а не обязанность пациента. Медицинская организация не может требовать представления этих сведений в принудительном порядке или отказывать пациенту в оказании медицинской помощи и заключении договора оказания медицинских услуг.

Что делать, если пациент требует уничтожить медицинскую карту?

В статье 79 закона «Об основах охраны здоровья граждан в Российской Федерации» говорится об обязанности медицинской организации вести медицинскую документацию в установленном порядке и предоставлять отчётность по видам, формам, в сроки и в объёме, которые установлены уполномоченным федеральным органом исполнительной власти.

Сведения в медицинской карте необходимы для составления отчётности. Медкарту не уничтожают до истечения утверждённых сроков хранения, даже если этого требует пациент.

Как быть готовым к проверке Роскомнадзора?

Проверки подразделяются на плановые и внеплановые.

Внеплановые проверки проводятся, когда выявляются нарушения в действиях организации, осуществляющей обработку персональных данных, и когда в Роскомнадзор поступают обращения, жалобы граждан. О внеплановой проверке Роскомнадзор предупреждает за 24 часа до начала проверки.

Предупреждение о плановой проверке приходит максимум за 3 рабочих дня до даты её начала. Такие проверки проводятся по утверждённому на год плану, поэтому к ним можно и нужно заранее готовиться.

Чтобы узнать, когда ждать плановой проверки, зайдите на сайт Управления Роскомнадзора вашего региона и просмотрите план деятельности управления на текущий год.

Алгоритм подготовки к проверке:

1. Проведите внутренний аудит для анализа процессов обработки персональной информации в учреждении.

В процессе аудита определяются:

• перечень информационных систем, в которых обрабатываются данные;
• цели обработки;

Для ЛПУ – это выполнение требований законодательства в сфере здравоохранения и оказание медицинских услуг населению.

• в ЛПУ обрабатываются: ФИО, дата рождения, адрес, семейное положение, место работы и сведения о состоянии здоровья;
• категории субъектов, данные которых обрабатываются в ЛПУ: пациенты и сотрудники учреждения.

1. Назначьте ответственных за организацию обработки и за обеспечение безопасности персональной информации.

Как правило, в лечебно-профилактических учреждениях за организацию обработки персональных данных отвечает заместитель главного врача или сам главный врач, за обеспечение безопасности персональных данных – системный администратор или программист.

1. Подготовьте необходимые документы.

В пакет документов обязательно входит Политика в отношении обработки персональных данных. Этот документ содержит в себе принципы и условия обработки персональной информации пациентов и сотрудников учреждения.

Политика размещается в общедоступном месте или на сайте ЛПУ, чтобы каждый мог с ней ознакомиться. Также подготавливаются приказы, положения, инструкции, которые позволяют выполнить все требования законодательства.

1. Подайте уведомление о намерении осуществлять обработку персональных данных в Роскомнадзор.

В случае каких-либо изменений подаётся информационное письмо с перечнем этих изменений. Уведомление можно отправить в электронном виде через сайт Роскомнадзора. Распечатанную версию необходимо отправить по почте в Управление Роскомнадзора вашего региона. В течение 30 дней учреждение вносится в реестр операторов персональных данных.

Представители структуры обязательно ознакомятся с формой согласия на обработку персональных данных, в которой указывается их перечень, цель обработки и сроки её прекращения. Если организация передаёт данные третьему лицу, в форме указывается согласие субъекта на поручение обработки такому лицу. В договоре, заключённом с третьим лицом, отдельным пунктом прописываются условия конфиденциальности.

Роскомнадзор также обратит внимание на выполнение Положения о локализации хранения персональных данных. Информация о местонахождении баз данных должна быть указана в Политике и уведомлении или в информационном письме, если уведомление уже было отправлено.

Ещё одним важным требованием является ознакомление сотрудников с положениями законодательства РФ о персональных данных и локальными актами учреждения по вопросам обработки персональных данных. Во время проверки Роскомнадзор потребует предоставить соответствующие формы ознакомления.

Если во время проверки выявляются нарушения, то Роскомнадзор оформляет акт о выявлении нарушений с предписанием об их устранении и передаёт информацию в суд.

Приглашаем вас принять участие в Международной конференции для частных клиник «Инновационные подходы к удовлетворению ожиданий современных пациентов» , где вы получите инструменты для создания положительного имиджа вашей клиники, что повысит спрос на медицинские услуги и увеличит прибыль. Сделайте первый шаг на пути развития вашей клиники.

Источник: http://academy-prof.ru/blog/personalnye-dannye-pacienta-v-lpu