Современные требования к защите персональных данных в медицинских организациях

Персональные данные, хранящиеся в медицинских организациях условно можно разделить на две группы.

Персональные данные работника, предоставляемые на момент заключения трудового договора с работодателем в соответствии с требованиями Трудового кодекса РФ.

Персональные данные пациента, которые предоставляются при заключении договора на оказание платных медицинских услуг.

Персональная информация должна быть надежно защищена

Предоставляя о себе информацию конфиденциального характера, носителям персональной информации необходимо знать и помнить, что переданная ими информация должна быть надежно защищена. Об этом прописано в законе Российской Федерации «О персональных данных» № 152-ФЗ. При этом, выполнение требований закона «О персональных данных» № 152-ФЗ обязательно для всех организаций.

Одно из требований указанного закона - разработка «Положения о защите персональных данных». Из сложившейся практики в медицинских организациях желательно разработать два таких «Положения». Одно - «Положение о защите персональных данных работников медицинской организации, другое - «Положение о защите персональных данных пациентов». 

Работодатель обязан ознакомить персонал медицинской организации с разработанными положениями защиты персональных данных под роспись, установить контроль за неукоснительным исполнением их требований, назначить ответственных лиц за обработку полученной информации, принять меры необходимые для хранения и защиты персональных данных.

При обработке персональных данных пациентов необходимо брать с каждого пациента или его законного представителя (родителей, дедушки, бабушки и т. д.) согласие на обработку персональных данных. Обязательно разъяснять пациенту, что его персональные данные не могут быть переданы куда-либо без его согласия, за исключением случаев перечисленных в законе «О персональных данных».

Надо ли уведомлять Роскомнадзор?

Рассмотрим вопрос, надо ли медицинской организации уведомлять Роскомнадзор (специальная фед. служба) о себе как об Операторе? Бытует мнение, что если уведомлять, то тем самым можно навлечь на себя плановые проверки Роскомнадзора. Это мнение ошибочно.

Также не вводите себя в заблуждение рассуждениями о том, что можно не уведомлять Роскомнадзор о себе, если персональные данные полученные от работника в качестве стороны трудового договора, обрабатываются медицинской организацией для выполнения своих обязанностей, вносятся в трудовой договор, личную карточку работника, другую кадровую документацию и никуда не предоставляются. 

Как правило, все медицинские организации на своем сайте в Интернете выкладывают информацию о своем работнике с фотографией, а это уже распространение персональных данных, на которое надо получить согласие работника. К тому же в соответствии со ст. 79 Закона об охране здоровья все медицинские организации обязаны давать информацию о медицинских  работниках с целью информирования населения.
Эти сведения позволяют идентифицировать того или иного медицинского работника. Следовательно, информация о работнике на сайте медицинской организации, относится к персональным данным, которая в соответствии с требованиями закона «О персональных данных» должна быть обработана и защищена и т.д., а медицинская организация, как оператор персональных данных до начала их обработки должна уведомить об этом Роскомнадзор.

Помните, что за нарушение требований закона «О персональных данных» № 152-ФЗ предусмотрены; 

-дисциплинарная ответственность (ТК РФ);

-административная ответственность (Кодекс РФ об административных правонарушениях»;-уголовная ответственность (п.1 ст. 137 УК РФ).

Первый отдел детского медицинского центра «Маркушка».