Новые правила работы с персональными данными в медорганизациях

Поделитесь мнением в большом сообществе специалистов в Телеграм Подписаться

На этот раз Правительство подготовило не просто новый закон, регламентирующий правила работы с персданными, а внесло изменения в 152-ФЗ. Из-за этого многие главврачи, регистраторы и медицинские работники начали совершать ошибки, за которые штрафует Роскомнадзор. Расскажем, как теперь работать с персданными в медорганизациях, чтобы потом не было проблем.

Что изменилось в правилах работы с персональными данными

В Закон от 27.07.2006 № 152-ФЗ «О персональных данных» внесли изменения на основании законопроекта № 101234-8. Новая версия ФЗ вступила в силу 1 марта 2023 года, а некоторые пункты начали действовать еще 1 сентября 2022 года. Если вы не успели пересмотреть ЛНА, согласия на обработку персданных и в целом правила работы с ними, то самое время это сделать, иначе при первой же проверке вам вручат или предписание, или выпишут штраф.

Закон от 27.07.2006 № 152-ФЗ «О персональных данных»

В обновленной версии закона в корне пересмотрели понятие доступа к персданным, дополнили их список, ввели логические и арифметические операции, дали более четкое понятие трансграничной передачи данных. Кроме того, если вы будете передавать данные за границу или начнете обрабатывать сведения личного характера, которых у вас ранее не было, то вам придется уведомить Роскомнадзор.

Ну и самое главное — теперь можно передать обработку и хранение информации сторонней компании. Правда, тогда вам не удастся оформлять пропуска для медперсонала. А вот контролировать хакерские атаки на вашу медорганизацию придется вам. О них нужно сообщать также в Роскомнадзор. Разберемся подробнее во всех изменениях и в правилах работы с персональными данными сотрудников и пациентов.

Читайте в нашем журнале: Новый порядок ведения персонифицированного учета медработников в 2023 году >>>

Какие сведения относятся к персональным данным пациентов и медработников

Персональные данные (ПД) — это любая информация, которая прямо или косвенно относится к физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ). Под ПД в частности понимают:

  • Ф.И.О. гражданина;
  • дату рождения;
  • адрес регистрации и проживания;
  • семейное, социальное, имущественное положение;
  • образование, профессию, уровень доходов;
  • диагноз, сведения о состоянии здоровья;
  • номер полиса ОМС, СНИЛСа и паспортные данные.

Номера телефонов, адреса электронных почтовых ящиков также относятся к персональным данным. По этой причине размещать их на сайте клиники, передавать в другие медучреждения можно только при наличии письменного согласия. Если человек обнаружит, что клиника обрабатывает и распространяет эти данные, то после поступления жалоб Роскомнадзор инициирует проверку. Обычно в ходе нее находят еще ряд нарушений. Так что в ваших интересах четко соблюдать требования закона.

Читайте в нашем журнале: Обзор изменений в здравоохранении для руководителей в 2023 году >>>

Алгоритм организации работы с персональными данными

Этап 1. Назначьте ответственных за работу с персданными в медорганизации

Закон не устанавливает требований к работнику, который занимается обработкой персональных данных. Вы можете назначить ответственным сотрудника отдела кадров, специалиста информационно-технического отдела или заместителя главврача. Издайте приказ о назначении и поручите прописать обязанности в должностной инструкции. Скачайте образец >>>

Образец приказа о назначении ответственного по работе с персональными данными

Скачать полностью >>>

Пример должностной инструкции ответственного за персданные

Важно! Нельзя назначить несколько ответственных за обработку персональных данных. Например, одного — за обработку личной информации сотрудников, другого — данных пациентов. Роскомнадзор за это штрафует. При этом официальных разъяснений, почему это запрещено, нет.

Учитывайте, руководители несут персональную ответственность за обеспечение информационной безопасности, о чем сказано в указе Президента от 01.05.2022 № 250. А вот обязанности по обеспечению информбезопасности можно возлагать только на заместителя главврача. Он должен заниматься обнаружением, предупреждением, ликвидацией последствий компьютерных атак, а также реагировать на компьютерные инциденты.

Этап 2. Разработайте Положение о защите персданных

Поручите ответственному лицу разработать Положение о работе с персональными данными, Положение об обработке персданных и Положение о защите персданных сотрудников и пациентов. В медорганизации должны быть все три документа. В них прописывайте только те категории информации, которые нужны для работы сотрудников или оказания медпомощи пациентам. Например, СНИЛС потребуется для отправки информации в СФР, а электронная почта пациента — для направления результатов анализов, телефон — для связи с лечащим врачом.

Для каждой цели обработки ПД определите:

  • категории и перечень данных;
  • категории субъектов ПД;
  • способы, сроки их обработки и хранения;
  • порядок уничтожения информации при достижении целей ее обработки или при наступлении иных законных оснований.

Образец Положения о работе с персональными данными сотрудников

Скачать полностью >>>

Все параметры обработки и защиты персданных работников и пациентов прописывайте отдельно. Единственное, что можно объединить — правила защиты личной информации сотрудников и пациентов. Для этого достаточно одного Положения.

Этап 3. Создайте комиссию по персданным

Возглавлять комиссию может главный врач, директор клиники или лицо, которое отвечает в медицинском учреждении за персданные. Утвердите состав комиссии приказом. При необходимости пропишите обязанности в допсоглашениях к трудовым договорам.

Образец приказа о создании комиссии по установлению уровня защищенности персональных данных

Скачать полностью >>>

Поручите членам комиссии установить уровень защищенности персональных данных в информационных системах медорганизации и разработать комплекс защищающих мероприятий. Пусть они опираются на Постановление Правительства от 01.11.2012 № 1119.

Чтобы разработать систему защиты ПД, комиссия, назначенная главврачом, должна:

  • обследовать информационную систему персональных данных (ИСПД);
  • выделить подсистемы, где обрабатываются данные;
  • определить категорию обрабатываемых данных, их объем, например, специальные, биометрические, общедоступные;
  • на основании анализа присвоить информационной системе один из четырех классов безопасности — К1, К2, К3, К4.

Комиссия может привлекать для анализа системы экспертов — лицензиатов Федеральной службы по техническому и экспортному контролю. Перечень экспертных организаций есть в реестре ФСТЭК. По итогам члены комиссии должны подписать акт, классифицирующий персданные.

Этап 4. Составьте матрицу доступа к личным данным

Матрица нужна для того, чтобы распределять ответственность сотрудников за информационную безопасность. Поручите ведение матрицы доступа службе информационной безопасности. Так как законодательно утвержденной матрицы доступа нет, ее можно заполнять в произвольном виде.

Образец матрицы уровней доступа к личным данным сотрудников

Должность Полномочия Примечание
Главный врач Чтение Контроль
Ответственный за информационную безопасность Полный доступ ко всем техническим средствам обработки информации и данным ИСПДн Контроль
Главный бухгалтер Чтение Контроль
Заместитель главного врача по кадрам Обработка ПД (п. 3 ст. 3 Федерального закона «О персональных данных») Оформление трудовых отношений
Заведующие отделениями Чтение Только дела своих подчиненных
Сотрудники МО Чтение Только свои личные дела

Этап 5. Создайте условия о хранении персональных данных

Определите места хранения бумажных документов. Например, медорганизация должна хранить в специальном кабинете:

  • карты пациентов, выбывших из стационара;
  • ксерокопии паспортов и полисов, которые необходимы для оформления счетов-фактур и реестров по ОМС.

Чтобы избежать утечки информации, определите перечень лиц, которые вправе работать с данными, а также вести журнал доступа. Разрешите доступ к документам регистраторам приемного отделения, врачам-статистики, операторам (по ОМС), заместителю главврача.

Храните материальные носители так, чтобы обеспечить сохранность персональных данных и исключить несанкционированный к ним доступ. Вы или члены комиссии можете самостоятельно определить перечень мер, которые позволят сохранить и защитить информацию. Такие правила установлены в п. 13-15 Постановления Правительства РФ от 15 сентября 2008 г. № 687.

Если в медорганизации обрабатываются персональные данные в информационной системе, то обеспечивайте ее защиту от несанкционированного доступа, чтобы исполнить требования Постановления Правительства РФ от 1 ноября 2012 г. № 1119. Выдайте ключи доступа к данным только тем, кто работает с информацией.

Правила получения согласия на обработку персданных

Как получить согласие на обработку и передачу персональных данных пациента

Перед тем как приступать к обработке персональных данных пациентов, нужно просить дать их письменное согласие на обработку и передачу сведений личного характера. Амбулаторное учреждение должно составлять его при его первом обращении и оформлении амбулаторной карты. Стационар обязан брать письменное согласие при каждом случае госпитализации, а затем прикладывать его в виде вкладыша в медицинскую карту.

Образец согласия на обработку персональных данных пациента

Скачать полностью >>>

Образец согласия пациента на передачу персональных данных скачайте здесь >>>

Как получать согласие на обработку и передачу персданных сотрудников клиники

Обрабатывать персональные данные сотрудников можно только с их согласия. Оформляйте его письменно. Для этого поручите отделу кадров составлять документ при оформлении сотрудников на работу. Обязательно напомните, что нельзя собирать персональные данные, которые не относятся к трудовой деятельности. Например, о вероисповедании, жилищных условиях и т. п. Такие данные относятся к личной тайне гражданина, которую он вправе никому не разглашать. Учитывайте, что работник может дать письменный отказ. Образец отказа тут >>>

Образец согласия сотрудника на обработку персональных данных

Скачать полностью >>>

Как уведомлять Роскомнадзор о работе с персональными данными

Уведомления об обработке, изменении и прекращении обработки персданных

Медорганизации как операторы персональных данных обязаны сообщать о начале их обработки в Роскомнадзор. Кстати, регистрация МО как оператора осуществляется в соответствии со ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ. Форма и порядок направления уведомления есть в приказе Роскомнадзора от 16.07.2010 № 482.

Приказом Роскомнадзора от 28.10.2022 № 180 установлены новые формы уведомлений об обработке персданных. Всего их три:

  • уведомление о намерении осуществлять обработку персданных;
  • уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персданных;
  • уведомление о прекращении обработки персданных.

Поручите ответственному уведомлять Роскомнадзор о намерении обрабатывать персональные данные сотрудников и пациентов, об изменении сведений и о прекращении их обработки каждый раз, когда это требуется. Если не уведомлять Роскомнадзор, есть риск получить штраф по ст. 19.7 КоАП.

Полезные образцы от экспертов:

Уведомления можно отправлять в электронном виде через официальный портал Роскомнадзора. Если подать их в электронной форме нет возможности, то разрешено распечатывать заполненный бланк и направлять в территориальный орган Роскомнадзора в бумажном виде.

Информирование об уничтожении персональных данных сотрудников и пациентов

С 1 марта 2023 года уничтожение персональных данных подтверждайте специальными документами, которые перечислены в приказе Роскомнадзора от 28.10.2022 № 179. Например:

  • если персональные данные храните на бумаге — достаточно акта;
  • если данные обрабатываете в электронном виде, кроме акта понадобится выгрузка из журнала регистрации событий в информационной системе.

Полезный образец от экспертов:

Информирование о передаче персональных данных в другие страны

Вступил в силу и новый порядок информирования Роскомнадзора о передаче ПД в другие страны мира. Теперь уведомляйте Роскомнадзор о трансграничной передаче персональных данных, если:

  • направляете работников в зарубежные командировки, деловые поездки, на конференции и т. д.;
  • направляете работников на обучение за границу;
  • передаете ПД в головной офис международной компании, расположенный за пределами РФ;
  • направляете данные работников иностранным контрагентам в целях исполнения заключенных контрактов ВЭД.

По итогам рассмотрения таких уведомлений РКН будет принимать решения о возможности передачи персданных, запрете или ограничении. Все зависит от конкретной ситуации. Чтобы избежать проблем, поручите ответственным лицам внимательно изучить обновленную версию закона, а при необходимости — направьте их на семинары или кратковременные курсы.