Меню

Персональные данные касающиеся состояния здоровья

Персональные данные касающиеся состояния здоровья

Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.

Программа разработана совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.

Можно ли отнести к персональным данным сведения о занятиях спортом, хобби, состоянии здоровья, вредных привычках, содержащиеся в анкете, которую заполняет соискатель при трудоустройстве на работу? Необходимо ли получить от соискателя при трудоустройстве письменное согласие на их обработку?

По данному вопросу мы придерживаемся следующей позиции:
Указанные в вопросе сведения, относящиеся к конкретному лицу, являются его персональными данными. Если предполагается их обработка исключительно в целях заключения трудового договора, а затем для его исполнения и выполнения обязанностей, возложенных на работодателя трудовым законодательством, получать согласие соискателя на такую обработку необязательно.

Обоснование позиции:
Согласно п. 1 ст. 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» (далее — Закон N 152-ФЗ) любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу, является персональными данными. Поскольку сведения о занятиях спортом, хобби, состоянии здоровья, вредных привычках в рассматриваемой ситуации относятся к конкретному лицу (располагаются в его личной анкете), то их следует считать персональными данными данного лица. Так, сведения о состоянии здоровья отнесены к персональным данным самим законодателем (ч. 1 ст. 10 Закона N 152-ФЗ). Судебная практика признает таковыми и сведения о вредных привычках (смотрите, например, апелляционное определение СК по гражданским делам Красноярского краевого суда от 13 марта 2019 г. по делу N 33-3671/2019). В отношении сведений о занятиях спортом, хобби такая практика не обнаружена. Напротив, к примеру, в апелляционном определении СК по гражданским делам Тамбовского областного суда от 03 декабря 2018 г. по делу N 33-4138/2018 информация о хобби признана не являющейся персональными данными. Однако, по нашему мнению, такая информация вкупе с Ф.И.О. работника является персональными данными, поскольку отвечает требованиям п. 1 ст. 3 Закона N 152-ФЗ. Другое дело, что в данном споре гражданка сама сделала эти сведения общедоступными; соответственно, на обработку таких персональных данных ее дальнейшее согласие не требовалось.
Итак, раз сведения о занятиях спортом, хобби, вредных привычках в рассматриваемой ситуации относятся к персональным данным, в силу ч. 1 ст. 6 Закона N 152-ФЗ их обработка*(1) допускается либо с согласия субъекта персональных данных на обработку его персональных данных, либо в исчерпывающем перечне случаев, определенных в пп. 2-11 ч. 1 ст. 6 Закона N 152-ФЗ. В числе этих случаев предусмотрена возможность обработки персональных данных без согласия, если обработка необходима для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей (п. 2 ч. 1 ст. 6 Закона N 152-ФЗ), а также если обработка необходима для исполнения договора, стороной которого является субъект персональных данных, либо для заключения договора по инициативе субъекта персональных данных (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ).
К обработке сведений, касающихся состояния здоровья (т.н. специальных категорий персональных данных) ч. 1 и 2 ст. 10 Закона N 152-ФЗ предъявляют более строгие требования: такая обработка возможна либо с согласия в письменной форме субъекта персональных данных на обработку его персональных данных, либо в исчерпывающем перечне случаев, определенных в пп. 2-10 ч. 2 ст. 10 Закона N 152-ФЗ. К этим случаям отнесена обработка персональных данных без согласия, если она осуществляется в соответствии с трудовым законодательством (п. 2.3 ч. 2 ст. 10 Закона N 152-ФЗ).
Таким образом, если предполагается обработка рассматриваемых сведений исключительно в целях*(2) заключения трудового договора, а затем для его исполнения и выполнения обязанностей, возложенных на работодателя трудовым законодательством, мы полагаем, что получать согласие соискателя на такую обработку необязательно.
Отметим, что названная позиция является нашим экспертным мнением и может расходиться с официальной позицией органов государственной власти. Обращаем внимание на то, что, к примеру, Роскомнадзор в своих Разъяснениях от 14 декабря 2012 г. «Вопросы, касающиеся обработки персональных данных работников, соискателей на замещение вакантных должностей, а также лиц, находящихся в кадровом резерве» указал, что обработка персональных данных соискателей на замещение вакантных должностей в рамках правоотношений, урегулированных Трудовым кодексом РФ, предполагает получение согласия соискателей на замещение вакантных должностей на обработку их персональных данных на период принятия работодателем решения о приеме либо отказе в приеме на работу. Исключение составляют случаи, когда от имени соискателя действует кадровое агентство, с которым данное лицо заключило соответствующий договор, а также при самостоятельном размещении соискателем своего резюме в сети Интернет, доступного неограниченному кругу лиц.

Читайте также:  Индукционная плита опасность для здоровья человека

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Прибыткова Мария

Ответ прошел контроль качества

11 апреля 2019 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.

————————————————————————-
*(1) Обработкой персональных данных признается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона N 152-ФЗ).
*(2) Необходимо обратить внимание на строгое требование закона о том, чтобы содержание и объем обрабатываемых персональных данных соответствовали заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки (ч. 5 ст. 5 Закона N 152-ФЗ).

Источник

Защита персональных данных в медицине: что нужно знать?

Пока государство не внедрило общую медицинскую информационную систему каждое лечебное учреждение вынуждено решать проблему защиты персональных данных самостоятельно. Из-за отсутствия единого подхода к безопасности, в медицинских учреждениях регулярно возникают проблемы утечки конфиденциальной информации. Пути решения этого вопроса обсуждались во время XVIII Ассамблеи «Здоровая Москва».

Что относят к персональным данным (ПДн) в медицине?

К категории простых ПДн относят следующую информацию о пациентах и сотрудниках клиники:

  • фамилия, имя, отчество;
  • информация о дате и месте рождения;
  • антропометрические показатели (рост, вес);
  • фотографии;
  • место жительства, контактные телефоны.

Когда речь идет о медицинском учреждении, к перечисленным пунктам добавляются персональные данные специальной категории. Это сведения о состоянии здоровья пациента, причины его обращения за медицинской помощью, диагноз и особенности лечения. Эти специальные сведения объединяют термином «врачебная тайна».

Работа с ПДн в медицине

Разглашать врачебную тайну запрещено даже после смерти пациента. При этом клиники обязаны хранить данные о здоровье каждого обратившегося человека в виде медицинской карты. Проблема утечки информации может возникнуть на каждом этапе взаимодействия персонала медучреждения с личными карточками больных.

Обработка ПДн пациентов состоит из таких этапов:

  • сбор и запись сведений;
  • систематизация полученных данных;
  • хранение информации в базе;
  • уточнение деталей (при необходимости);
  • уничтожение неактуальной информации.

Защита должна быть предусмотрена при каждом контакте персонала с медицинскими картами больных. Добиться этого в лечебных учреждениях сложно.

Когда можно разглашать ПДн в медицине?

Юристы выделяют ряд законных оснований, позволяющих раскрыть врачебную тайну:

  • необходимость оказания срочной медицинской помощи больному, который не в состоянии подтвердить свое согласие на разглашение (отсутствие сознания, критическое состояние, психические расстройства);
  • по запросу органов следствия, прокуратуры, суда и т.д.;
  • если пациенту еще не исполнилось 15 лет (информация передается родителям или другим законным представителям ребенка);
  • при поступлении больных с насильственным характером травм (врачи обязаны сообщить в органы полиции о факте совершения преступления);
  • в ходе расследования причин производственных травм и профессиональных заболеваний;
  • во время проверки Роскомнадзора.
Читайте также:  Укрепление здоровья долг людей

Во всех остальных случаях защита персональной информации пациента охраняется законом РФ.

Специфика защиты ПДн в медицинских учреждениях

Каждая частная клиника и государственная больница ежедневно обрабатывает огромный объем данных о пациентах. Доступ к этой информации должны иметь только сотрудники медучреждения. Во многих государственных поликлиниках России переход на электронный документооборот и автоматизированный учет до сих пор не завершился. Это снижает уровень безопасности обработки и хранения персональной информации больных.

Использование современных информационных систем выводит этот процесс на новый уровень удобства и защиты. Сегодня используется три эффективных инструмента безопасной обработки персональных данных в больницах:

  • специальные приложения с локальным или сетевым хранилищем;
  • медицинские информационные системы (МИС), работающие в пределах конкретного медцентра;
  • облачные программы сбора и хранения информации.

Еще в 2011 году Министерством здравоохранения и социального развития Российской Федерации была разработана концепция создания единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ). Говоря проще, это идея объединения всех локальных информационных систем больниц в единую базу. Ее реализации до сих пор препятствует слабое техническое оснащение многих государственных медицинских центров. В связи с этим вопрос защиты и хранения ПДн до сих пор решается отдельно в каждом лечебном учреждении.

Организация безопасной обработки и хранения ПДн пациентов входит в ответственность главного врача. Он выбирает медицинскую информационную систему для медучреждения и следит за уровнем защиты информации.

Приобретать МИС можно только из перечня программных продуктов, представленных в «Едином реестре российских программ для электронных вычислительных машин и баз данных». Этот список утверждается и постоянно обновляется Министерством связи РФ. Сегодня он насчитывает более ста предложений российской разработки. С 1 января 2016 года российским медицинским учреждениям запрещено использовать иностранные программы для работы с персональными сведениями пациентов.

Какие МИС для обработки и защиты персональных данных используют российские медучреждения?

Локальные МИС разделены на модули. Каждая клиника выбирает функциональное ПО в соответствии со структурой и сферой деятельности. Требованиям Федерального закона «О персональных данных» отвечают следующие программные продукты:

Каждая из представленных информационных систем имеет свой алгоритм обеспечения безопасности личных сведений. Так, в MEDODS передача данных шифруется по криптографическому протоколу TLS. Платформа Medesk обеспечивает информационную безопасность за счет фрагментарной архитектуры построения, которая разбивает общий информационный массив на ячейки.

При использовании перечисленных МИС риск взлома и кражи персональных данных минимален. Однако важно ограничить доступ к работе с базами посторонним людям. Для этого руководство клиники должно предпринять комплекс мер, включающий пропускную систему доступа, круглосуточное видеонаблюдение, многоуровневую систему паролей. Это поможет избежать преднамеренного воровства личных сведений пациентов и сотрудников.

В борьбе за защиту персональных данных в медицине не стоит забывать о регулярном ознакомлении сотрудников клиник с положениями законодательства РФ. Часто утечка информации происходит неосознанно, в результате невнимательного отношения врачей и младшего медицинского персонала к сохранению врачебной тайны. В прошлом году более 100 врачей в разных регионах были наказаны за такие нарушения.

Выводы

Сегодня эксперты оценивают уровень безопасности персональных данных в государственных и частных медицинских центрах нашей страны, как низкий. Это связано с недостаточной квалификацией персонала, отсутствием единой системы информационной защиты, недостаточным уровнем контроля. Решение этих проблем требует четкого государственного регулирования и внедрения нового программного обеспечения.

Приведем обработку персональных данных медицинской организации в соответствие требованиям Федерального закона

Источник

Сведения о трудоспособности и о состоянии здоровья как персональные данные

Являются ли сведения, относящиеся к возможности выполнения трудовой функции работником (инвалидность, временная нетрудоспособность, беременность, соответствие параметров здоровья допустимым при решении вопроса о допуске к работе), к специальной категории персональных данных – сведениям о состоянии здоровья, или сведения о трудоспособности являются отдельной категорией персональных данных и не могут быть отнесены к сведениям о состоянии здоровья?

Читайте также:  Как деревья помогают здоровью человека

В настоящее время, при проведении проверок операторов, сотрудники Роскомнадзора исходят из следующей позиции: сведения, относящиеся к возможности выполнения трудовой функции работником, относятся к сведениям о состоянии здоровья. Данная позиция обладает следующей спецификой:

Существует иная точка зрения, согласно которой необходимо разделять понятия «сведения о состоянии здоровья» и «сведения о трудоспособности». Эта позиция подтверждается судебной практикой (см. дело Роскомнадзор против Центра занятости).

К сожалению, в принятом Федеральном законе от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» не дается определение понятия «сведения о состоянии здоровья». Тем не менее, в указанном акте закреплены следующие определения:

Официальная позиция Роскомнадзора

Указываемая в листке нетрудоспособности информация о субъекте персональных данных, касающаяся факта обращения за медицинской помощью, причин нетрудоспособности, а также иных данных, подлежащих указанию в листке нетрудоспособности (например: установление или изменение группы инвалидности), являются сведениями о состоянии здоровья субъекта персональных данных.

Данные о датах освобождения от работы не являются сведениями о состоянии здоровья субъекта персональных данных. Информация о причинах нетрудоспособности может являться сведениями о состоянии здоровья субъекта персональных данных с учетом характера и полноты информации, содержащейся в листке нетрудоспособности в каждом конкретном случае.

Судебная практика

Победы Роскомнадзора и Прокуратуры:

Победы операторов персональных данных:

Правовые основания обработки работодателями сведений, содержащихся в документах, подтверждающих временную нетрудоспособность гражданина (листках нетрудоспособности)

Правовые основания обработки работодателями сведений о результатах медицинских осмотров, диспансеризации

Правовые основания обработки работодателями сведений о инвалидности и сведений, содержащихся в медицинских заключениях

Образец медицинского заключения с указанными в нем сведениями о состоянии здоровья.

Правовые основания обработки работодателями сведений при санитарно-бытовом и лечебно-профилактическом обслуживание работников

Организация санитарно-бытового обслуживания работников регламентируется «СП 44.13330.2011. Свод правил. Административные и бытовые здания. Актуализированная редакция СНиП 2.09.04-87» (утв. Приказом Минрегиона России от 27.12.2010 № 782) и включает в себя оборудование: — санитарно-бытовых помещений; — помещений для приема пищи; — помещений для оказания медицинской помощи; — комнат для отдыха в рабочее время и психологической разгрузки.

Помимо этого работодатель должен создать санитарные посты с аптечками, укомплектованными набором лекарственных средств и препаратов для оказания первой помощи. Для комплектования аптечек работодатель может воспользоваться Приказом Минздравмедпрома РФ от 20.08.1996 № 325 «Об утверждении состава и рекомендаций по применению аптечки первой помощи (автомобильной)».

Работодатель обязан обеспечить за свой счет или на своем транспортном средстве перевозку в медицинские организации или к месту жительства работников, пострадавших от несчастных случаев на производстве и профессиональных заболеваний, а также по иным медицинским показаниям (ч. 2 ст. 223 ТК РФ ).

Обработка информации о листках нетрудоспособности в ИСПДн

Итак, нам видятся следующие основные пути решения этого вопроса:

I. Не признавать официально данные из больничного листка данными о состоянии здоровья. С учётом позиции Роскомнадзора, риски характеризуются, например, выигранными Роскомнадзором судебными делами.

II. Признать данные из больничного листка данными о состоянии здоровья и классифицировать систему «1С» как класс «К1». На наш взгляд, абсурдное и излишне дорогое, но полностью соответствующее букве закона решение.

III. Признать данные из больничного листка данными о состоянии здоровья и классифицировать систему «1С» как класс «Специальная, К2» или «Специальная, К3» по нашей методике определения класса на основании модели угроз. Риски существенно ниже, чем при варианте I, а стоимость защиты – примерно такая же.

Вариант III представляется наиболее сбалансированным и мы рекомендуем остановиться именно на нём.

Источник

Adblock
detector