На этот раз Правительство подготовило не просто новый закон, регламентирующий правила работы с персданными, а внесло изменения в 152-ФЗ. Из-за этого многие главврачи, регистраторы и медицинские работники начали совершать ошибки, за которые штрафует Роскомнадзор. Расскажем, как теперь работать с персданными в медорганизациях, чтобы потом не было проблем.
Что изменилось в правилах работы с персональными данными
В Закон от 27.07.2006 № 152-ФЗ «О персональных данных» внесли изменения на основании законопроекта № 101234-8. Новая версия ФЗ вступила в силу 1 марта 2023 года, а некоторые пункты начали действовать еще 1 сентября 2022 года. Если вы не успели пересмотреть ЛНА, согласия на обработку персданных и в целом правила работы с ними, то самое время это сделать, иначе при первой же проверке вам вручат или предписание, или выпишут штраф.
Закон от 27.07.2006 № 152-ФЗ «О персональных данных»
В обновленной версии закона в корне пересмотрели понятие доступа к персданным, дополнили их список, ввели логические и арифметические операции, дали более четкое понятие трансграничной передачи данных. Кроме того, если вы будете передавать данные за границу или начнете обрабатывать сведения личного характера, которых у вас ранее не было, то вам придется уведомить Роскомнадзор.
Ну и самое главное — теперь можно передать обработку и хранение информации сторонней компании. Правда, тогда вам не удастся оформлять пропуска для медперсонала. А вот контролировать хакерские атаки на вашу медорганизацию придется вам. О них нужно сообщать также в Роскомнадзор. Разберемся подробнее во всех изменениях и в правилах работы с персональными данными сотрудников и пациентов.
Читайте в нашем журнале: Новый порядок ведения персонифицированного учета медработников в 2023 году >>>
Какие сведения относятся к персональным данным пациентов и медработников
Персональные данные (ПД) — это любая информация, которая прямо или косвенно относится к физическому лицу (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ). Под ПД в частности понимают:
- Ф.И.О. гражданина;
- дату рождения;
- адрес регистрации и проживания;
- семейное, социальное, имущественное положение;
- образование, профессию, уровень доходов;
- диагноз, сведения о состоянии здоровья;
- номер полиса ОМС, СНИЛСа и паспортные данные.
Номера телефонов, адреса электронных почтовых ящиков также относятся к персональным данным. По этой причине размещать их на сайте клиники, передавать в другие медучреждения можно только при наличии письменного согласия. Если человек обнаружит, что клиника обрабатывает и распространяет эти данные, то после поступления жалоб Роскомнадзор инициирует проверку. Обычно в ходе нее находят еще ряд нарушений. Так что в ваших интересах четко соблюдать требования закона.
Читайте в нашем журнале: Обзор изменений в здравоохранении для руководителей в 2023 году >>>
Алгоритм организации работы с персональными данными
Этап 1. Назначьте ответственных за работу с персданными в медорганизации
Закон не устанавливает требований к работнику, который занимается обработкой персональных данных. Вы можете назначить ответственным сотрудника отдела кадров, специалиста информационно-технического отдела или заместителя главврача. Издайте приказ о назначении и поручите прописать обязанности в должностной инструкции. Скачайте образец >>>
Образец приказа о назначении ответственного по работе с персональными данными
Пример должностной инструкции ответственного за персданные
Важно! Нельзя назначить несколько ответственных за обработку персональных данных. Например, одного — за обработку личной информации сотрудников, другого — данных пациентов. Роскомнадзор за это штрафует. При этом официальных разъяснений, почему это запрещено, нет.
Учитывайте, руководители несут персональную ответственность за обеспечение информационной безопасности, о чем сказано в указе Президента от 01.05.2022 № 250. А вот обязанности по обеспечению информбезопасности можно возлагать только на заместителя главврача. Он должен заниматься обнаружением, предупреждением, ликвидацией последствий компьютерных атак, а также реагировать на компьютерные инциденты.
Этап 2. Разработайте Положение о защите персданных
Поручите ответственному лицу разработать Положение о работе с персональными данными, Положение об обработке персданных и Положение о защите персданных сотрудников и пациентов. В медорганизации должны быть все три документа. В них прописывайте только те категории информации, которые нужны для работы сотрудников или оказания медпомощи пациентам. Например, СНИЛС потребуется для отправки информации в СФР, а электронная почта пациента — для направления результатов анализов, телефон — для связи с лечащим врачом.
Для каждой цели обработки ПД определите:
- категории и перечень данных;
- категории субъектов ПД;
- способы, сроки их обработки и хранения;
- порядок уничтожения информации при достижении целей ее обработки или при наступлении иных законных оснований.
Образец Положения о работе с персональными данными сотрудников
Все параметры обработки и защиты персданных работников и пациентов прописывайте отдельно. Единственное, что можно объединить — правила защиты личной информации сотрудников и пациентов. Для этого достаточно одного Положения.
Этап 3. Создайте комиссию по персданным
Возглавлять комиссию может главный врач, директор клиники или лицо, которое отвечает в медицинском учреждении за персданные. Утвердите состав комиссии приказом. При необходимости пропишите обязанности в допсоглашениях к трудовым договорам.
Образец приказа о создании комиссии по установлению уровня защищенности персональных данных
Поручите членам комиссии установить уровень защищенности персональных данных в информационных системах медорганизации и разработать комплекс защищающих мероприятий. Пусть они опираются на Постановление Правительства от 01.11.2012 № 1119.
Чтобы разработать систему защиты ПД, комиссия, назначенная главврачом, должна:
- обследовать информационную систему персональных данных (ИСПД);
- выделить подсистемы, где обрабатываются данные;
- определить категорию обрабатываемых данных, их объем, например, специальные, биометрические, общедоступные;
- на основании анализа присвоить информационной системе один из четырех классов безопасности — К1, К2, К3, К4.
Комиссия может привлекать для анализа системы экспертов — лицензиатов Федеральной службы по техническому и экспортному контролю. Перечень экспертных организаций есть в реестре ФСТЭК. По итогам члены комиссии должны подписать акт, классифицирующий персданные.
Этап 4. Составьте матрицу доступа к личным данным
Матрица нужна для того, чтобы распределять ответственность сотрудников за информационную безопасность. Поручите ведение матрицы доступа службе информационной безопасности. Так как законодательно утвержденной матрицы доступа нет, ее можно заполнять в произвольном виде.
Образец матрицы уровней доступа к личным данным сотрудников
| Должность | Полномочия | Примечание |
|---|---|---|
| Главный врач | Чтение | Контроль |
| Ответственный за информационную безопасность | Полный доступ ко всем техническим средствам обработки информации и данным ИСПДн | Контроль |
| Главный бухгалтер | Чтение | Контроль |
| Заместитель главного врача по кадрам | Обработка ПД (п. 3 ст. 3 Федерального закона «О персональных данных») | Оформление трудовых отношений |
| Заведующие отделениями | Чтение | Только дела своих подчиненных |
| Сотрудники МО | Чтение | Только свои личные дела |
Этап 5. Создайте условия о хранении персональных данных
Определите места хранения бумажных документов. Например, медорганизация должна хранить в специальном кабинете:
- карты пациентов, выбывших из стационара;
- ксерокопии паспортов и полисов, которые необходимы для оформления счетов-фактур и реестров по ОМС.
Чтобы избежать утечки информации, определите перечень лиц, которые вправе работать с данными, а также вести журнал доступа. Разрешите доступ к документам регистраторам приемного отделения, врачам-статистики, операторам (по ОМС), заместителю главврача.
Храните материальные носители так, чтобы обеспечить сохранность персональных данных и исключить несанкционированный к ним доступ. Вы или члены комиссии можете самостоятельно определить перечень мер, которые позволят сохранить и защитить информацию. Такие правила установлены в п. 13-15 Постановления Правительства РФ от 15 сентября 2008 г. № 687.
Если в медорганизации обрабатываются персональные данные в информационной системе, то обеспечивайте ее защиту от несанкционированного доступа, чтобы исполнить требования Постановления Правительства РФ от 1 ноября 2012 г. № 1119. Выдайте ключи доступа к данным только тем, кто работает с информацией.
Правила получения согласия на обработку персданных
Как получить согласие на обработку и передачу персональных данных пациента
Перед тем как приступать к обработке персональных данных пациентов, нужно просить дать их письменное согласие на обработку и передачу сведений личного характера. Амбулаторное учреждение должно составлять его при его первом обращении и оформлении амбулаторной карты. Стационар обязан брать письменное согласие при каждом случае госпитализации, а затем прикладывать его в виде вкладыша в медицинскую карту.
Образец согласия на обработку персональных данных пациента
Образец согласия пациента на передачу персональных данных скачайте здесь >>>
Как получать согласие на обработку и передачу персданных сотрудников клиники
Обрабатывать персональные данные сотрудников можно только с их согласия. Оформляйте его письменно. Для этого поручите отделу кадров составлять документ при оформлении сотрудников на работу. Обязательно напомните, что нельзя собирать персональные данные, которые не относятся к трудовой деятельности. Например, о вероисповедании, жилищных условиях и т. п. Такие данные относятся к личной тайне гражданина, которую он вправе никому не разглашать. Учитывайте, что работник может дать письменный отказ. Образец отказа тут >>>
Образец согласия сотрудника на обработку персональных данных
Как уведомлять Роскомнадзор о работе с персональными данными
Уведомления об обработке, изменении и прекращении обработки персданных
Медорганизации как операторы персональных данных обязаны сообщать о начале их обработки в Роскомнадзор. Кстати, регистрация МО как оператора осуществляется в соответствии со ст. 22 Федерального закона от 27.07.2006 № 152-ФЗ. Форма и порядок направления уведомления есть в приказе Роскомнадзора от 16.07.2010 № 482.
Приказом Роскомнадзора от 28.10.2022 № 180 установлены новые формы уведомлений об обработке персданных. Всего их три:
- уведомление о намерении осуществлять обработку персданных;
- уведомление об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персданных;
- уведомление о прекращении обработки персданных.
Поручите ответственному уведомлять Роскомнадзор о намерении обрабатывать персональные данные сотрудников и пациентов, об изменении сведений и о прекращении их обработки каждый раз, когда это требуется. Если не уведомлять Роскомнадзор, есть риск получить штраф по ст. 19.7 КоАП.
Полезные образцы от экспертов:
- Образец уведомления об изменении сведений, содержащихся в уведомлении о намерении осуществлять обработку персональных данных
- Образец уведомления о прекращении обработки персональных данных
Уведомления можно отправлять в электронном виде через официальный портал Роскомнадзора. Если подать их в электронной форме нет возможности, то разрешено распечатывать заполненный бланк и направлять в территориальный орган Роскомнадзора в бумажном виде.
Информирование об уничтожении персональных данных сотрудников и пациентов
С 1 марта 2023 года уничтожение персональных данных подтверждайте специальными документами, которые перечислены в приказе Роскомнадзора от 28.10.2022 № 179. Например:
- если персональные данные храните на бумаге — достаточно акта;
- если данные обрабатываете в электронном виде, кроме акта понадобится выгрузка из журнала регистрации событий в информационной системе.
Полезный образец от экспертов:
Информирование о передаче персональных данных в другие страны
Вступил в силу и новый порядок информирования Роскомнадзора о передаче ПД в другие страны мира. Теперь уведомляйте Роскомнадзор о трансграничной передаче персональных данных, если:
- направляете работников в зарубежные командировки, деловые поездки, на конференции и т. д.;
- направляете работников на обучение за границу;
- передаете ПД в головной офис международной компании, расположенный за пределами РФ;
- направляете данные работников иностранным контрагентам в целях исполнения заключенных контрактов ВЭД.
По итогам рассмотрения таких уведомлений РКН будет принимать решения о возможности передачи персданных, запрете или ограничении. Все зависит от конкретной ситуации. Чтобы избежать проблем, поручите ответственным лицам внимательно изучить обновленную версию закона, а при необходимости — направьте их на семинары или кратковременные курсы.