«Пациентка с сифилисом, пройдите в пятый кабинет»!
Если в вашей клинике звучат такие фразы, готовьтесь к серьезным штрафам. Это — грубое нарушение закона о персональных данных и врачебной тайны. В новой статье расскажем, как должна работать клиника, чтобы не иметь проблем с законом при получении, обработке, хранении и передаче такой информации.
Понятие определено в Федеральном законе «О персональных данных» от 27.07.2006 N 152-ФЗ и звучит так:
«Персональные данные— любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».
По простому — это сведения, которые позволяют идентифицировать конкретного человека. Обычно это паспортные данные, контакты, а также номера всевозможных документов: СНИЛС, водительского удостоверения, медицинских полисов и так далее.
По закону обрабатывать, хранить, принимать, а также передавать такую информацию третьим лицам можно только с письменного согласия пациента. Об этом говорит статья 7 закона 152 ФЗ. Клиника, которая получает, хранит и обрабатывает персональные данные, становится оператором персональных данных и обязана подчиняться требованиям законодательства.
Оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
В клиниках часто путают понятия врачебной тайны и персональных данных. Внесем ясность в этот вопрос.
Врачебная тайна — это запрет на разглашение любой информации, полученной клиникой в ходе обращения пациента. Это диагнозы, результаты анализов, обследований, назначения, рецепты и многое другое. В том числе — персональные данные, о которых мы говорили выше. Формально получается, что персональные данные пациента охраняются двумя законами:
№ 152 ФЗ «О персональных данных».
N 323-ФЗ (ред. от 25.12.2023) «Об основах охраны здоровья граждан в Российской Федерации», а именно — статьей 13 «Соблюдение врачебной тайны». Здесь персональные данные — это часть сведений, составляющих врачебную тайну.
Читайте также: Медицинская этика и деонтология в работе клиники: почему врачи нарушают врачебную этику
Итак, у нас есть две стороны: пациент с персональными данными и клиника, которая является оператором — хранит, систематизирует и обрабатывает их. Все остальные будут являться третьими лицами. Им нельзя передавать персональные данные без письменного согласия.
Простой пример: клиника — юрлицо № 1, направляет пациента сдать анализы в лабораторию — юрлицо № 2. Лаборатория в этом случае будет являться третьим лицом и передавать ему такую информацию нельзя. Именно по этой причине с пациента берут согласие на обработку персональных данных.
Обработка — это абсолютно любые действия с персональными данными. Часть 3 статьи 3 «Закона о персональных данных» определяет это как
«Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных».
Грубо говоря, клиника не имеет право даже спросить ФИО пациента до того, как получит согласние на обработку персональных данных. Сбор такой информации уже попадает под определение обработки.
Читайте также: Претензии от пациентов: какие бывают и как с ними работать
Согласие на обработку — это предоставление пациентом оператору права получать, хранить, обрабатывать и передавать персональные данные. Оформляется в виде отдельного документа. Именно отдельного: закон 152 ФЗ запрещает включать пункт о согласии на обработку персональных данных в другие документы, например, договор на оказание медицинских услуг.
Один из вариантов согласия на обработку персональных данных пациента
Скачать образец документа можно на сайте Роскомнадзора
Предметным, т.е. относящимся к конкретному случаю. У нас это будет оказание медицинских услуг, и оператор обязан использовать информацию только в этих целях.
Однозначным, не допускающим разных трактовок.
Осознанным и предоставленным по своей воле.
Информированным: при его составлении оператор обязан предоставить пациенту всю информацию о том, как и в каких целях будут использованы его персональные данные.
Согласие дается в любой форме, которая позволяет подтвердить факт его получения. Обычно это простая письменная форма. Никаких требований к ней нет — форма устанавливается оператором самостоятельно с учетом требований законодательства.
При этом оно обязательно должно включать:
ФИО пациента и сведения о документе, удостоверяющем личность. Как правило, это паспорт РФ.
Цель обработки персональных данных.
Сведения об операторе — наименование организации или ФИО лица, получающего согласие на обработку.
Перечень самих персональных данных, которые предоставляет пациент.
Список операций с персональными данными, которые будет проводить оператор. Например, сбор, хранение, передача третьим лицам, обработка, систематизация и так далее.
Срок действия согласия.
Дата и подпись пациента.
Читайте также: Документы для клиники: что понадобится для открытия и работы частного медицинского учреждения
И самое важное: согласие на обработку персональных данных — это первый документ, который должен подписать пациент при обращении в клинику. Не договор, а именно согласие. Заключение договора уже предполагает обработку персональных данных, а если нет согласия, делать этого нельзя.
Есть еще один момент: он касается обработки персональных данных в разрезе врачебной тайны. В некоторых случаях письменное согласие на передачу такой информации третьим лицам не требуется.
Вот эти случаи (часть 4 статьи 13 323 ФЗ):
Вы оказываете медицинские услуги пациенту, который самостоятельно не способен выразить свою волю. Простой пример — пациенты в бессознательном состоянии, которым требуется неотложная или экстренная медпомощь.
При угрозе распространения инфекционных заболеваний, массовых отравлений и поражений.
По запросу органов суда, следствия или дознания в рамках проводимых расследований.
При контроле за лицами, страдающими наркоманией и находящимися на принудительном лечении.
При поступлении в клинику пациента, вред здоровью которому причинен в результате противоправных действий.
При оказании услуг несовершеннолетнему лицу в целях информирования его родителей или иных законных представителей.
При поступлении в клинику пациента, который не может сообщить о своей личности.
При смерти пациента, личность которого неизвестна.
При обмене информацией между медицинскими организациями в целях оказания медицинских услуг.
В прочих случаях, предусмотренных законами и нормативными актами.
Читайте также: Медицинские бланки: какие бывают, где взять и почему электронные бланки удобнее бумажных
Итак, мы разобрались с тем, что такое персональные данные и как правильно их собирать и обрабатывать. Но одна из важных частей работы клиники — защитить такую информацию от несанкционированного использования.
Вот несколько рабочих советов:
Все средства защиты данных, особенно криптографические, должны быть сертифицированы в установленном законом порядке.
Установите антивирусные программы на ПК клиники, на которых хранятся персональные данные.
Соблюдайте рабочую гигиену: никаких разбросанных в свободном доступе медкарт и других документов, не говоря уже о «Пациентка с сифилисом, пройдите в пятый кабинет». В нашей практике был случай, когда врач-нарколог в качестве образца расписки давал пациентам расписки других пациентов. Это — грубейшее нарушение.
Используйте проверенную, сертифицированную и надежную медицинскую информационную систему. В идеале — коробочную: в облачных МИС персональные данные могут храниться на сторонних серверах и никто не может гарантировать отсутствие доступа третьих лиц. МИС ArchiMed+ устанавливается на сервер клиники и доступ в информации имеет только ограниченный и строго определенный круг лиц.
Назначьте приказом лицо, ответственное за обработку персональных данных.
Разработайте и утвердите положение об обработке персональных данных.
Разработайте и утвердите форму согласия пациентов на обработку персональных данных.
Утвердите список сотрудников, которые имеют доступ к персональным данным и могут заниматься их обработкой.
Читайте также: ЭДО для клиники: что это такое, почему стоит перейти на электронные документы и как это сделать
Все вышеперечисленное может проверить Роскомнадзор в ходе мероприятий по контролю за соблюдением закона о персональных данных.
Оставьте заявку и получите подробный разбор бизнес-процессов вашей клиники
Наши консультанты покажут все возможности системы ArchiMed+ и ответят на ваши вопросы