Меню

Защита персональных данных состояние здоровья

Сведения о трудоспособности и о состоянии здоровья как персональные данные

Являются ли сведения, относящиеся к возможности выполнения трудовой функции работником (инвалидность, временная нетрудоспособность, беременность, соответствие параметров здоровья допустимым при решении вопроса о допуске к работе), к специальной категории персональных данных – сведениям о состоянии здоровья, или сведения о трудоспособности являются отдельной категорией персональных данных и не могут быть отнесены к сведениям о состоянии здоровья?

В настоящее время, при проведении проверок операторов, сотрудники Роскомнадзора исходят из следующей позиции: сведения, относящиеся к возможности выполнения трудовой функции работником, относятся к сведениям о состоянии здоровья. Данная позиция обладает следующей спецификой:

Существует иная точка зрения, согласно которой необходимо разделять понятия «сведения о состоянии здоровья» и «сведения о трудоспособности». Эта позиция подтверждается судебной практикой (см. дело Роскомнадзор против Центра занятости).

К сожалению, в принятом Федеральном законе от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» не дается определение понятия «сведения о состоянии здоровья». Тем не менее, в указанном акте закреплены следующие определения:

Официальная позиция Роскомнадзора

Указываемая в листке нетрудоспособности информация о субъекте персональных данных, касающаяся факта обращения за медицинской помощью, причин нетрудоспособности, а также иных данных, подлежащих указанию в листке нетрудоспособности (например: установление или изменение группы инвалидности), являются сведениями о состоянии здоровья субъекта персональных данных.

Данные о датах освобождения от работы не являются сведениями о состоянии здоровья субъекта персональных данных. Информация о причинах нетрудоспособности может являться сведениями о состоянии здоровья субъекта персональных данных с учетом характера и полноты информации, содержащейся в листке нетрудоспособности в каждом конкретном случае.

Судебная практика

Победы Роскомнадзора и Прокуратуры:

Победы операторов персональных данных:

Правовые основания обработки работодателями сведений, содержащихся в документах, подтверждающих временную нетрудоспособность гражданина (листках нетрудоспособности)

Правовые основания обработки работодателями сведений о результатах медицинских осмотров, диспансеризации

Правовые основания обработки работодателями сведений о инвалидности и сведений, содержащихся в медицинских заключениях

Образец медицинского заключения с указанными в нем сведениями о состоянии здоровья.

Правовые основания обработки работодателями сведений при санитарно-бытовом и лечебно-профилактическом обслуживание работников

Организация санитарно-бытового обслуживания работников регламентируется «СП 44.13330.2011. Свод правил. Административные и бытовые здания. Актуализированная редакция СНиП 2.09.04-87» (утв. Приказом Минрегиона России от 27.12.2010 № 782) и включает в себя оборудование: — санитарно-бытовых помещений; — помещений для приема пищи; — помещений для оказания медицинской помощи; — комнат для отдыха в рабочее время и психологической разгрузки.

Помимо этого работодатель должен создать санитарные посты с аптечками, укомплектованными набором лекарственных средств и препаратов для оказания первой помощи. Для комплектования аптечек работодатель может воспользоваться Приказом Минздравмедпрома РФ от 20.08.1996 № 325 «Об утверждении состава и рекомендаций по применению аптечки первой помощи (автомобильной)».

Работодатель обязан обеспечить за свой счет или на своем транспортном средстве перевозку в медицинские организации или к месту жительства работников, пострадавших от несчастных случаев на производстве и профессиональных заболеваний, а также по иным медицинским показаниям (ч. 2 ст. 223 ТК РФ ).

Обработка информации о листках нетрудоспособности в ИСПДн

Итак, нам видятся следующие основные пути решения этого вопроса:

I. Не признавать официально данные из больничного листка данными о состоянии здоровья. С учётом позиции Роскомнадзора, риски характеризуются, например, выигранными Роскомнадзором судебными делами.

II. Признать данные из больничного листка данными о состоянии здоровья и классифицировать систему «1С» как класс «К1». На наш взгляд, абсурдное и излишне дорогое, но полностью соответствующее букве закона решение.

III. Признать данные из больничного листка данными о состоянии здоровья и классифицировать систему «1С» как класс «Специальная, К2» или «Специальная, К3» по нашей методике определения класса на основании модели угроз. Риски существенно ниже, чем при варианте I, а стоимость защиты – примерно такая же.

Читайте также:  Вред здоровью при дтп наказание за это

Вариант III представляется наиболее сбалансированным и мы рекомендуем остановиться именно на нём.

Источник

Защита персональных данных состояние здоровья

Памятка для медицинских учреждений по актуальным проблемам обработки персональных данных

ПАМЯТКА

ДЛЯ МЕДИЦИНСКИХ УЧРЕЖДЕНИЙ

ПО АКТУАЛЬНЫМ ПРОБЛЕМАМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Что такое персональные данные пациента?

Понятие персональных данных содержится в пункте 1 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее − Федеральный закон о персональных данных). Ими признается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Заполняя медицинскую карту амбулаторного больного или заключая договор оказания медицинских услуг, медицинская организация получает персональные данные пациента такие как: фамилия, имя, отчество; дата рождения; адрес по месту проживания; пол; вес; рост; сведения о состоянии здоровья; сведения о результатах анализов, при этом обязана соблюдать определенные требования.

Нормативные правовые акты в области здравоохранения не устанавливают обязанность медицинских учреждений требовать от пациента документы, удостоверяющие личность, а также не предусматривают возможность отказа в оказании медицинской помощи гражданину, который отказывается или не может предъявить личные документы.

Медицинская организация в процессе своей деятельности должна соблюдать требования по защите персональных данных и сохранению врачебной тайны.

Правила обработки персональных данных пациента

Согласно пункту 3 статьи 3 Федерального закона о персональных данных обработка персональных данных − любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными с использованием средств автоматизации или без использования таковых, включая сбор, запись, систематизацию персональных данных, их накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу персональных данных (их распространение, предоставление, доступ к ним), обезличивание, блокирование, удаление, уничтожение персональных данных.

Обработка персональных данных допускается с согласия субъекта персональных данных либо при наличии иных оснований, предусмотренных пунктами 2-11 части 1 статьи 6 Федерального закона о персональных данных.

Так согласно пункту 6 части 1 статьи 6 Федерального закона обработка персональных данных, необходимая для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.

Обработка специальных категорий персональных данных без получения согласия пациента для медицинской организации возможна в следующих случаях:

— обработка персональных данных для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;

— обработка персональных данных в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну (пункт 4 части 2 статьи 10 Федерального закона о персональных данных).

Предоставление персональных данных пациенту

Согласно части 3 статьи 14 Федерального закона о персональных данных сведения о персональных данных предоставляются субъекту персональных данных или его представителю оператором при обращении либо получении запроса субъекта персональных данных или его представителя.

Запрос должен содержать:

— номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;

— сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дату его заключения, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя.

Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.

Читайте также:  Что важнее богатство или здоровье

Обеспечение неограниченного доступа к документам, определяющим политику медицинской организации в отношении обработки персональных данных

Согласно статье 18.1 Федерального закона о персональных данных оператор (медицинская организация) обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.

Опубликование сведений о медицинской деятельности и о медицинских работниках

Согласно пункту 7 части 1 статьи 79 Федерального закона от 21.11.2011
№ 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» медицинская организация обязана информировать граждан в доступной форме, в том числе с использованием сети «Интернет», об осуществляемой медицинской деятельности и о медицинских работниках медицинских организаций, об уровне их образования и об их квалификации, а также предоставлять иную необходимую для проведения независимой оценки качества оказания услуг медицинскими организациями информацию.

Во исключение данной правовой нормы приказом Минздрава России от 30.12.2014 № 956н утверждены требования к содержанию и форме предоставления информации о деятельности медицинских организаций, размещаемой на официальных сайтах Министерства здравоохранения Российской Федерации, органов государственной власти субъектов Российской федерации, органов местного самоуправления и медицинских организаций в информационно-телекоммуникационной сети «Интернет». Обработка персональных данных лиц, не предусмотренных данным правовым актом, а также обработка категорий персональных данных в объеме, превышающем объем определенный приказом, возможен только с согласия субъекта персональных данных.

Время публикации: 10.01.2018 14:32
Последнее изменение: 10.01.2018 14:33

Источник

Защита персональных данных в медицине: что нужно знать?

Пока государство не внедрило общую медицинскую информационную систему каждое лечебное учреждение вынуждено решать проблему защиты персональных данных самостоятельно. Из-за отсутствия единого подхода к безопасности, в медицинских учреждениях регулярно возникают проблемы утечки конфиденциальной информации. Пути решения этого вопроса обсуждались во время XVIII Ассамблеи «Здоровая Москва».

Что относят к персональным данным (ПДн) в медицине?

К категории простых ПДн относят следующую информацию о пациентах и сотрудниках клиники:

  • фамилия, имя, отчество;
  • информация о дате и месте рождения;
  • антропометрические показатели (рост, вес);
  • фотографии;
  • место жительства, контактные телефоны.

Когда речь идет о медицинском учреждении, к перечисленным пунктам добавляются персональные данные специальной категории. Это сведения о состоянии здоровья пациента, причины его обращения за медицинской помощью, диагноз и особенности лечения. Эти специальные сведения объединяют термином «врачебная тайна».

Работа с ПДн в медицине

Разглашать врачебную тайну запрещено даже после смерти пациента. При этом клиники обязаны хранить данные о здоровье каждого обратившегося человека в виде медицинской карты. Проблема утечки информации может возникнуть на каждом этапе взаимодействия персонала медучреждения с личными карточками больных.

Обработка ПДн пациентов состоит из таких этапов:

  • сбор и запись сведений;
  • систематизация полученных данных;
  • хранение информации в базе;
  • уточнение деталей (при необходимости);
  • уничтожение неактуальной информации.

Защита должна быть предусмотрена при каждом контакте персонала с медицинскими картами больных. Добиться этого в лечебных учреждениях сложно.

Когда можно разглашать ПДн в медицине?

Юристы выделяют ряд законных оснований, позволяющих раскрыть врачебную тайну:

  • необходимость оказания срочной медицинской помощи больному, который не в состоянии подтвердить свое согласие на разглашение (отсутствие сознания, критическое состояние, психические расстройства);
  • по запросу органов следствия, прокуратуры, суда и т.д.;
  • если пациенту еще не исполнилось 15 лет (информация передается родителям или другим законным представителям ребенка);
  • при поступлении больных с насильственным характером травм (врачи обязаны сообщить в органы полиции о факте совершения преступления);
  • в ходе расследования причин производственных травм и профессиональных заболеваний;
  • во время проверки Роскомнадзора.
Читайте также:  Зарядка для здоровья сообщение

Во всех остальных случаях защита персональной информации пациента охраняется законом РФ.

Специфика защиты ПДн в медицинских учреждениях

Каждая частная клиника и государственная больница ежедневно обрабатывает огромный объем данных о пациентах. Доступ к этой информации должны иметь только сотрудники медучреждения. Во многих государственных поликлиниках России переход на электронный документооборот и автоматизированный учет до сих пор не завершился. Это снижает уровень безопасности обработки и хранения персональной информации больных.

Использование современных информационных систем выводит этот процесс на новый уровень удобства и защиты. Сегодня используется три эффективных инструмента безопасной обработки персональных данных в больницах:

  • специальные приложения с локальным или сетевым хранилищем;
  • медицинские информационные системы (МИС), работающие в пределах конкретного медцентра;
  • облачные программы сбора и хранения информации.

Еще в 2011 году Министерством здравоохранения и социального развития Российской Федерации была разработана концепция создания единой государственной информационной системы в сфере здравоохранения (ЕГИСЗ). Говоря проще, это идея объединения всех локальных информационных систем больниц в единую базу. Ее реализации до сих пор препятствует слабое техническое оснащение многих государственных медицинских центров. В связи с этим вопрос защиты и хранения ПДн до сих пор решается отдельно в каждом лечебном учреждении.

Организация безопасной обработки и хранения ПДн пациентов входит в ответственность главного врача. Он выбирает медицинскую информационную систему для медучреждения и следит за уровнем защиты информации.

Приобретать МИС можно только из перечня программных продуктов, представленных в «Едином реестре российских программ для электронных вычислительных машин и баз данных». Этот список утверждается и постоянно обновляется Министерством связи РФ. Сегодня он насчитывает более ста предложений российской разработки. С 1 января 2016 года российским медицинским учреждениям запрещено использовать иностранные программы для работы с персональными сведениями пациентов.

Какие МИС для обработки и защиты персональных данных используют российские медучреждения?

Локальные МИС разделены на модули. Каждая клиника выбирает функциональное ПО в соответствии со структурой и сферой деятельности. Требованиям Федерального закона «О персональных данных» отвечают следующие программные продукты:

Каждая из представленных информационных систем имеет свой алгоритм обеспечения безопасности личных сведений. Так, в MEDODS передача данных шифруется по криптографическому протоколу TLS. Платформа Medesk обеспечивает информационную безопасность за счет фрагментарной архитектуры построения, которая разбивает общий информационный массив на ячейки.

При использовании перечисленных МИС риск взлома и кражи персональных данных минимален. Однако важно ограничить доступ к работе с базами посторонним людям. Для этого руководство клиники должно предпринять комплекс мер, включающий пропускную систему доступа, круглосуточное видеонаблюдение, многоуровневую систему паролей. Это поможет избежать преднамеренного воровства личных сведений пациентов и сотрудников.

В борьбе за защиту персональных данных в медицине не стоит забывать о регулярном ознакомлении сотрудников клиник с положениями законодательства РФ. Часто утечка информации происходит неосознанно, в результате невнимательного отношения врачей и младшего медицинского персонала к сохранению врачебной тайны. В прошлом году более 100 врачей в разных регионах были наказаны за такие нарушения.

Выводы

Сегодня эксперты оценивают уровень безопасности персональных данных в государственных и частных медицинских центрах нашей страны, как низкий. Это связано с недостаточной квалификацией персонала, отсутствием единой системы информационной защиты, недостаточным уровнем контроля. Решение этих проблем требует четкого государственного регулирования и внедрения нового программного обеспечения.

Приведем обработку персональных данных медицинской организации в соответствие требованиям Федерального закона

Источник

Adblock
detector