Пермская гражданская палата - Главная

НОВОСТИ



09.09.16. Новый сайт ПГП на PGPALATA.RU >>



08.09.16. Павел Селуков: «Пермские котики станут жителями Европы» Подробнее >>



08.09.16. Пермяки продолжают оспаривать строительство высотки у Черняевского леса Подробнее >>



08.09.16. В Чусовом появятся 54 контейнера для сбора пластика Подробнее >>



08.09.16. Жителям Перми расскажут об управленческих технологиях и их применении в некоммерческом секторе Подробнее >>



08.09.16. Пермские общественные организации могут обновить состав Комиссии по землепользованию и застройке города Подробнее >>



07.09.16. Историческое общество намерено помочь пермяку, осуждённому за реабилитацию нацизма Подробнее >>



07.09.16. До открытия в Перми «Душевной больницы» для детей осталось чуть больше полугода Подробнее >>



06.09.16. В Перми на Парковом проспекте открылся новый общественный центр Подробнее >>



06.09.16. Павел Селуков: «Мой гепатит» Подробнее >>

Архив новостей

ПИШИТЕ НАМ

palata@pgpalata.org

 





         


Права человека: опыт и методики

 

ПРАВОЗАЩИТНЫЕ МЕТОДИКИ

 

Право на неприкосновенность частной жизни

 

 

Рекомендации по обработке персональных данных в медицинских учреждениях

 

Для кого и зачем нужны рекомендации

Общие требования к обработке персональных данных

Правила обработки персональных данных при проведении медицинских исследований

Советы по обеспечению требований к обработке данных

Направление уведомлений

Получение информированного добровольного согласия

Соблюдение требований открытости и прозрачности обработки

Информирование пациентов и их доступ к информации о себе

Обеспечение требований конфиденциальности персональных данных пациентов

Передача информации третьим лицам

 

Для кого и зачем нужны рекомендации

Рекомендации адресованы медицинским учреждениям и направлены на содействие обеспечению прав граждан при обработке их персональных данных.

Пунктом 6 статьи 30 Основ законодательства Российской Федерации об охране здоровья граждан устанавливается право пациента на сохранение всей информации о нем в тайне; статья 31 закрепляет право пациента на получение имеющейся информации о состоянии его здоровья и другой касающейся его информации, которой располагают врачи; статья 61 определяет понятие врачебной тайны и случаи, при которых возможно распространение конфиденциальной информации о пациенте без его согласия.

26 января 2007 года вступил в действие Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных». Закон установил дополнительные обязательные для исполнения правила по сбору, систематизации, накоплению, хранению, уточнению, использованию, распространению, обезличиванию, блокированию, уничтожению персональных данных и ответственность за их нарушение. Правила распространяются на всех субъектов, включая медицинские учреждения.

Рекомендации содержат советы о том, как привести обработку персональной информации пациентов в соответствие с новыми требованиями законодательства.

Большинство людей полагает, что сведения о состоянии здоровья это очень личная информация, и поэтому ее конфиденциальность при любом обращении в медицинские учреждения сама собой разумеется. Закон «О персональных данных» относит сведения о состоянии здоровья к специальной категории персональных данных, которые находятся под особой защитой. Эти данные нельзя собирать и хранить для целей, не связанных с охраной здоровья, без специального письменного согласия человека. Правила обработки персональных данных распространяются на обработку информации в любой форме, включая бумажный, электронный, визуальный (рентгенограммы, видео и фотографии, аудиозаписи).

Закон устанавливает дополнительные гарантии защиты личной информации, такие как:

•  необходимость получать согласие на сбор сведений о состоянии здоровья;

•  требования к информированию пациентов о целях и способах обработки информации;

•  ограничения на передачу информации о состоянии здоровья без согласия пациента;

•  обеспечение безопасности и конфиденциальности информации о состоянии здоровья и о пациентах.

Информация о состоянии здоровья аккумулируется в поликлиниках, медицинских лабораториях, больницах и страховых компаниях и т.п. В последнее время стремительно расширяется практика использования электронных баз данных медицинских учреждений и использования сетей Интранет и Интернет для обмена такими данными. Некоторые медицинские учреждения и врачи частной практики организуют посредством Интернет-сайтов консультации пациентов. В данных рекомендациях мы постарались охватить различные обстоятельства обработки персональных данных и предложить практические советы по обеспечению их защиты.

О какой обработке идет речь?

•  Фиксация информации о состоянии здоровья и оказании медицинских услуг в истории болезни

•  Передача информации от одного медицинского учреждения другому, например, при направлении на дополнительное обследование к специалисту.

•  Обработка данных номера медицинского полиса, для получения оплаты за оказание медицинских услуг от страховой организации

•  Сбор информации при записи на прием к врачу

•  Проведение эпидемиологических обследований, клинических испытаний

•  Обучение студентов на базе больницы или университета;

•  По запросу органов дознания и следствия, прокурора и суда в связи с проведением расследования или судебным разбирательством;

•  Информирование родителей или законных представителей в случае оказания помощи несовершеннолетнему в возрасте до 15 лет;

•  Предоставление информации правоохранительным органам при наличии оснований, позволяющих полагать, что вред здоровью гражданина причинен в результате противоправных действий.

Общие требования к обработке персональных данных

Организация, которая имеет дело с персональными данными, обязана соблюдать базовые принципы их обработки.

  1. Соответствие целям сбора. Персональные данные должны использоваться только для тех целей, для которых они были собраны и храниться не дольше, чем это требуется для достижения целей обработки. Оператор должен уничтожать данные после достижения целей обработки.
  2. Прозрачность обработки и информированность субъекта. Оператор должен информировать субъекта о факте обработки данных, предоставлять сведения о целях и способах обработки. Субъект данных должен иметь возможность получать любую информацию, касающуюся обработки его данных.
  3. Свобода доступа к данным о себе. Субъект данных должен иметь возможность знакомиться с данными о себе.
  4. Право на уточнение. Персональные данные должны быть актуальны и достоверны. Субъект данных имеет право требовать уточнения информации, а также блокирования и уничтожения неточных данных.
  5. Конфиденциальность. Оператор должен обеспечивать конфиденциальность персональных данных. Персональные данные не должны передаваться третьим лицам без согласия субъекта данных. Персональные данные должны быть защищены от несанкционированного доступа и распространения.
  6. Ограничение обработки специальных категорий персональных данных. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни допускается только в исключительных случаях.
  7. Ответственность. Субъект данных и Уполномоченный орган имеет право обжаловать неправомерные действия оператора и требовать соответствующей компенсации в суде.
  8. Защита прав субъекта при передаче данных за рубеж. Передача данных за рубеж возможна только если иностранное государство обеспечивает адекватную защиту прав субъектов данных, или при условии письменного согласия.

Правила обработки персональных данных при проведении медицинских научных исследований

  1. Пациенты участвуют в медицинских научных исследованиях исключительно добровольно.
  2. Исследователь должен запрашиваться согласие пациента на использование информации о нем, в случае, если при этом разглашается личная информация (в публикациях, диссертациях, иных научных работах)
  3. Исследователь может хранить оригинальные данные, на которые он ссылается в научных работах, чтобы избежать обвинений в фальсификации. Оптимальный срок хранения данных – 15 лет. Данные могут быть доступны для обсуждения с другими исследователями, на которых распространяется требование сохранения врачебной тайны.
  4. Возможные ограничения могут быть оговорены в соглашении о конфиденциальности информации.
  5. Медицинские исследования основаны на сохранении анонимности респондентов. Собранная информация никогда не используется для целей, не связанных с исследовательскими.
  6. В случаях, когда это возможно, данные опросов должны храниться в обезличенном виде.
  7. При публикации в научных и иных целях данных о пациентах или выписок из истории болезни все данные о пациенте должны быть, в обязательном порядке, ОБЕЗЛИЧЕНЫ.
  8. Обработка данных, вне зависимости от того с какой целью они были собраны, могут использоваться для статистических или исследовательских целей без дополнительного согласования, если при этом не происходит разглашения личной информации.

Научно-исследовательское учреждение (исследователь) для получения персональных данных пациентов направляет в медицинское учреждение письменное заявление и план исследования. В заявлении о поведении научно-исследовательской работы, исследователь должен указать:

•  цели исследования;

•  сведения о компетентности исследователя;

•  источник данных;

•  период исследования;

•  категории субъектов, чьи персональные данные обрабатываются;

•  причины, по которым для проведения исследования невозможно использование деперсоницифированной информации;

•  способ опубликования результатов исследования;

•  предполагаемое время хранения личной информации;

•  меры по обеспечению безопасности, которые будут применены к личной информации.

•  перечень лиц, которые будут иметь доступ к персональным данным.

Предоставление информации должно сопровождаться заключением соглашения с исследователем, в которых бы оговаривались необходимость соблюдения следующих условий:

•  Личная информация может использоваться только в целях, изложенных в плане исследования;

•  Исследователь не должен публиковать информацию в форме, которая могла бы идентифицировать человека;

•  Исследователь не вправе раскрывать информацию, если это не требуется по закону;

•  Исследователь не должен пытаться связаться с человеком, личная информация которого является предметом его научно-исследовательской работы, если медицинское учреждение не получило согласия этого человека;

•  Исследователь должен уважать достоинство и право на неприкосновенность личной жизни человека.

Советы по обеспечению требований к обработке данных

  1. По мере возможности, собирайте информацию только непосредственно от человека. Информируйте пациентов о том для чего Вы собираете информацию о них; кому Вы можете передавать собранную информацию.
  2. Всегда, когда это уместно и осуществимо, особенно при оказании медицинских услуг деликатного характера, предоставляйте людям возможность взаимодействия получать медицинские услуги анонимно.
  3. Уточняйте согласия пациента на передачу их персональной информации третьим лицам и получение информации о них от третьих лиц.
  4. Согласуйте с пациентами вопрос о том, каким учреждениям могут быть доступны и переданы сведения о них, предоставляйте пациентам возможность ограничить распространение информации о себе третьим лицам.
  5. Определите процедуру предоставления доступа к информации по запросам, а также исправления и уничтожения неточной информации.
  6. Предпринимайте меры защиты персональной информации от несанкционированного доступа и распространения.
  7. Установите ясные правила для использования персональной информации пациентов для целей, не связанных с оказанием медицинской помощи, например, для сбора средств или распространения маркетинговой информации.
  8. Определите принципы сбора, использования и раскрытия персональной информации для исследовательских целей.
  9. Оцените, какая персональная информация действительно нужна организации, а какие данные могут быть обезличены или уничтожены без ущерба для деятельности учреждения.

Во многих случаях, особенно при оказании медицинских услуг деликатного характера целесообразно избегать объединения информации о медицинских услугах, полученных в различных медицинских учреждениях в одной базе данных или в медицинской карте, истории болезни.

Для всех информационных ресурсов медицинского учреждения (существующих баз данных), содержащих персональные данные, необходимо:

  1. определить их цели и статус (для чего и на основании чего созданы: в соответствии с законодательством, для исполнения договора со страховой компанией, по собственной инициативе и т.д.);
  2. уточнить и зафиксировать состав персональных данных и их источники получения (от гражданина, от других медицинских учреждений, от третьих лиц и т.д.);
  3. установить сроки хранения и сроки обработки данных для ­каждой из баз данных, если продолжительность не установлена законодательством;
  4. определить лиц, имеющих доступ к персональной информации;
  5. определить в каких случаях, как и на каких основаниях может быть предоставлен доступ к персональным данным третьим лицам;
  6. определить порядок реагирования на обращения пациентов по поводу доступа к информации о них, возможные варианты ответов и действий.

Направление уведомлений

В соответствии с Законом направлять уведомления об обработке персональных данных в Уполномоченный орган (Федеральную службу по надзору в сфере связи и массовых коммуникаций) необходимо во всех случаях, когда медицинское учреждение хранит персональные данные пациентов в электронной форме. Если персональные данные обрабатываются только в бумажной форме - уведомление уполномоченного органа не требуется.

Уведомление о намерении осуществлять обработку персональных данных должно содержать следующие сведения:

•  наименование (фамилия, имя, отчество), адрес оператора;

•  цель обработки персональных данных;

•  категории персональных данных;

•  категории субъектов, персональные данные которых обрабатываются;

•  правовое основание обработки персональных данных;

•  перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

•  описание мер, которые оператор обязуется осуществлять при обработке персональных данных, по обеспечению безопасности персональных данных при их обработке;

•  дата начала обработки персональных данных;

•  срок или условие прекращения обработки персональных данных.

Уведомление может быть направлено в письменной форме с подписью уполномоченного лица или в электронной форме и подписано электронной цифровой подписью в соответствии с законодательством Российской Федерации.

Адрес Уполномоченного органа в своем регионе можно получить на сайте Федеральной службы по надзору в сфере связи и массовых коммуникаций, по адресу http://www.rsoc.ru/main/about/territorial/

 

ОБРАЗЕЦ

Руководителю Управления Федеральной
службы по надзору в сфере связи и массовых
коммуникаций по Пермскому краю
Ю.Н. Щебеткову
ул. Ленина, д. 68, г. Пермь, 614096

 

УВЕДОМЛЕНИЕ

об обработке персональных данных

Государственный орган - Муниципальное лечебно - профилактическое учреждение «Городская поликлиника»; место нахождения и юридический адрес: ул. Пушкина, д. 1, г. Пермь, 614000; ИНН 5901111111, КПП 590111111, ОГРН 1045111111111;

с целью:

оказания медицинской помощи населению, осуществления кадровой деятельности, формирования единой информационной системы здравоохранения Пермской области;

осуществляет обработку следующих категорий персональных данных:

фамилия, имя, отчество; год рождения; месяц рождения; дата рождения; место рождения; адрес; семейное положение; образование; профессия; состояние здоровья; СНИЛС, ИНН, данные документа, удостоверяющего личность, полис ОМС, место работы;

принадлежащих следующим категориям субъектов персональных данных:

сотрудники учреждения, лица, нуждающиеся в медицинской помощи или получившие медицинскую помощь.

правовое основание сбора персональных данных:

осуществляет свою деятельность (в том числе по обработке персональных данных) на основе Конституции РФ, Гражданского кодекса Российской Федерации, ст.ст. 85-90 Трудового кодекса Российской Федерации, ст. 161 Бюджетного кодекса Российской Федерации, Федерального закона от 27.07.2006 №152-ФЗ "О персональных данных", Федерального закона от 27.07.2006 №149-ФЗ "Об информации, информационных технологиях и о защите информации", Основ законодательства об охране здоровья граждан, Федерального закона от 28.06.1991 №1499-1 «О медицинском страховании граждан РФ», Устава Учреждения.

Обработка вышеуказанных персональных данных осуществляется путём совершения действий (операций): сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, передача, уничтожение. Обработка персональных данных выполняется смешанным способом: автоматизированная обработка персональных данных с передачей полученной информации по сети (внесение в Единую информационную систему здравоохранения Пермской области данных о лицах, нуждающиеся в медицинской помощи или получившие медицинскую помощь); неавтоматизированная обработка персональных данных (ведение трудовых книжек, личных дел сотрудников и обслуживающий персонал Учреждения).

Для обеспечения безопасности персональных данных при их обработке осуществляются меры:

1) в отношении данных содержащихся в ЕИС: организационные (ограничение доступа сотрудников Учреждения к ЕИС, охрана помещений в ночное время с использованием охранной сигнализации) и технические (разграничение и паролирование доступа к ЕИС, передача обработанных данных по выделенному каналу с использованием криптографических средств защиты);

2) в отношении персональных данных государственных гражданских служащих, сотрудников и обслуживающего персонала Управления – соблюдение требований ст.ст. 85-90 Трудового кодекса Российской Федерации, Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».

Дата начала обработки персональных данных: 07.12.1980 г.

Условие прекращения обработки персональных данных: прекращение деятельности Учреждения как юридического лица (ликвидация или реорганизация).

Заведующий

МЛПУ «Городская поликлиника» Н.Н.Иванов

(дата, подпись, печать организации)

Получение информированного добровольного согласия

Получение согласия на обработку персональной информацией тесно связано с получением информированного добровольного согласия пациента на медицинское вмешательство.

На медицинском учреждении лежит обязанность получения и доказывания факта информированного добровольного согласия пациента на медицинское вмешательство. Предоставление персональной информации неразрывно связано с оказанием медицинских услуг, поэтому сам по себе факт согласия пациента на получение медицинских услуг, установления медицинского диагноза или осуществления медико-профилактических мероприятий подразумевает согласие на обработку информации для этих целей.

По Закону согласие пациента на любое медицинское вмешательство должно быть предварительным, информированным и добровольным (ч.7 ст.30 Основ законодательства об охране здоровья граждан). Медицинское учреждение не вправе осуществлять медицинское вмешательство без согласия человека за исключением случаев, предусмотренных законодательством (когда человек вследствие тяжелой травмы или болезни не отдает отчета своим действиям; в отношении несовершеннолетних, не достигших возраста 15 лет; в случае серьезной и неизбежной угрозы жизни человека или угрозе массового распространения инфекционного заболевания; по решению суда). В первых двух случаях интересы пациента представляет его законный представитель, который и принимает решение о предоставлении информированного согласия на вмешательство.

Специальное запрашивать согласие пациентов на обработку персональной информации пациентов необходимо, в трех случаях, когда:

  1. данные передаются третьим лицам, структурам, которые не занимаются предоставлением медицинских услуг, например страховым компаниям, работодателям или используются в целях, которые не связаны с предоставлением медицинской помощи, например для сбора средств, продвижения медицинских товаров и услуг и т.п.;
  2. информация о пациентах собирается от третьих лиц;
  3. предполагается раскрытие, опубликование персональной информации (например, при проведении исследований).

Специальное письменное согласие необходимо:

  1. при сборе специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, когда это не связано с оказанием медицинских услуг, установлением медицинского диагноза или осуществлением медико-профилактических мероприятий.

Письменное согласие субъекта на обработку его персональных данных должно включать в себя:

  1. фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;
  2. наименование (фамилию, имя, отчество) и адрес оператора, получающего согласие субъекта персональных данных;
  3. цель обработки персональных данных;
  4. перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
  5. перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  6. срок, в течение которого действует согласие, а также порядок его отзыва.

Пациент вправе требовать внесения  записей о его согласии (несогласии) на каждое медицинское вмешательство (курс лечения, рентгенограммы, инъекции и т.д.)  в историю болезни.  Если в истории болезни нет записей о согласии пациента на медицинские вмешательства – учреждение не сможет доказать наличие информированного добровольного согласия в случае предъявления претензий к качеству оказания медицинской помощи и обоснованности назначения того или иного курса лечения.

Медицинское учреждение не может отказать пациенту в оказании медицинских услуг на основании отказа предоставить необходимую информацию о себе или членах своей семьи. В таких случаях врач должен проинформировать пациента о последствиях отказа под роспись, либо сделать соответствующую запись в истории болезни.

Соблюдение требований открытости и прозрачности обработки

Размещение в открытом доступе документа, который бы ясно излагал политику медицинского учреждения по обработке личной информации (Положение об обработке персональных данных, Политику приватности и т.п.) сделает более понятыми и прозрачными взаимоотношения учреждения и пациентов. Это требованием не является обязательным по закону, тем не менее его выполнение будет способствовать установлению доверия пациентов к учреждению.

В документе указывается следующая информация:

  • цели и способы обработки персональных данных;
  • категории, типы обрабатываемых данных;
  • категории субъектов, персональные данные которых обрабатываются;
  • правовое основание обработки персональных данных;
  • перечень действий с персональными данными;
  • условия прекращения обработки персональных данных;
  • как получить доступ к персональным данным;
  • условия раскрытия и объем данных доступных партнерам и третьим лицам;
  • контактную информацию лиц, ответственных за рассмотрение жалоб и запросов.

Опубликование данного документа особенно важно, если медицинские услуги оказываются с использованием сети Интернет, например, консультирования он-лайн, либо если данные передаются третьим лицам. Использование этого документа упростит процедуру информирования клиентов. При предоставлении пациентам информации о целях предоставления данных третьим лицам делайте отсылку к указанному документу.

Документ может быть предложен вниманию пациентов в местах общего доступа: на информационном стенде, в брошюре, на официальном веб-сайте.

Информирование пациентов и их доступ к информации о себе

Информирование пациентов о том, как учреждение будет обращаться с их персональной информацией – важная часть защиты их прав. Если Вы получили информацию о пациенте от третьих лиц, либо если возникла необходимость использовать данные субъекта для целей, которые не были согласованы заранее, Вы должны направить субъекту данных Уведомление об обработке, которое будет включать следующую информацию:

  • наименование и адрес Вашей организации;
  • цель обработки персональных данных;
  • предполагаемые пользователи персональных данных;
  • права субъекта персональных данных.

В обязанности медицинского учреждения входит обеспечение доступа пациентов к медицинским документам по запросам. Пациент имеет право  непосредственно знакомиться с  медицинской документацией, отражающей состояние его здоровья, и получать консультации по ней у других специалистов  (ч.4 ст.31 "Основ законодательства об охране здоровья граждан").  Речь идет о доступе  пациента к  документированной  информации о состоянии  его здоровья, диагнозе, процессе обследования и лечения, в т.ч. включая:

•  сведения  о  результатах обследования;

•  сведения о наличии заболевания,  его диагнозе  и  прогнозе;

•  информацию о целях и методах предполагаемого вмешательства;

•  информацию об альтернативных (известных возможных других) видах вмешательств и  их результатах;

•  информацию о продолжительности рекомендуемого лечения;

•  информацию о болевых ощущениях от данного вмешательства;

•  информацию о возможном риске,  известных побочных эффектах вмешательства;

•  информацию об ожидаемых результатах вмешательства;

•  информацию о возможных медико-социальных, психологических, экономических и других возможных последствиях вмешательства.

Пациент также имеет право получать от врача информацию о состоянии своего здоровья, включая сведения о результатах  обследования,  наличии заболевания, его диагнозе и прогнозе, методах лечения, связанном с ними риске, возможных вариантах медицинского вмешательства, их последствиях и результатах проведенного лечения.

Доступ к данным можно обеспечить множеством различных способов. Например, предоставив выписку из истории болезни, копию истории болезни, копию информации на иных носителях (фотокопия, копия рентгена). Вся информация должна быть предоставлена в доступной для  пациентов форме.

“...гражданин имеет право непосредственно знакомиться с медицинской документацией, отражающей состояние его здоровья, и получать консультации по ней у других специалистов. По  требованию гражданина ему предоставляются копии медицинских документов, отражающих состояние его здоровья, если в них не затрагиваются интересы  третьей стороны” (ст. 31 "Основ законодательства об охране здоровья граждан")

«... в случаях неблагоприятного прогноза развития заболевания информация должна сообщаться в деликатной форме гражданину и членам его семьи, если гражданин не запретил сообщать им об этом и (или) не назначил лицо, которому должна быть передана такая информация» (ст. 31 "Основ законодательства об охране здоровья граждан")

В соответствии с Законом «О персональных данных» пациент имеет право уточнять, какая именно информация о нем храниться и кому она передавалась. Запрос на получение информации должен содержать данные паспорта и личную подпись (запрос может быть также направлен в электронной форме и подписан электронной цифровой подписью в соответствии с законодательством Российской Федерации). Учреждение должно ответить на подобный запрос в течение 10 дней. Ответ на запрос должен предоставляться субъекту в доступной форме – письменно, по электронной почте, при возможности устно или по телефону.

В ответе на запрос не должно содержаться персональной информации, которая относится к другим субъектам. Если нет возможности предоставить перечень фактических раскрытий - предоставьте субъекту список организаций, которым могли быть раскрыты их персональные данные.

Отказ в предоставлении доступа к данным, сведений об обработке или уточнении персональных данных должен быть обоснован.

Опубликуйте контактную информацию сотрудника к которому можно обращаться с запросами о предоставлении информации в открытом доступе (на информационных стендах, на Интернет-сайте, в информационных материалах и т.п.)

Пациент вправе, познакомившись с содержимым истории болезни,  как требовать ее дополнения существенными, не отраженными там сведениями, так и  настаивать на том, чтобы конфиденциальные сведения, полученные от него и внесенные в историю врачом, если они не имеют отношения к сути медицинской ситуации, были из данного документа устранены.

Информация о состоянии здоровья не может быть предоставлена гражданину против его воли.

Обеспечение требований конфиденциальности персональных данных пациентов

  1. Проведите инвентаризацию персональной информации, которая у Вас хранится. Разбейте информацию на категории, в зависимости от уровня конфиденциальности информации (размера возможного морального или материального ущерба, который может причинить ее разглашение).
  2. Определите четкие и понятные правила, устанавливающие продолжительность хранения данных, порядок их уничтожения и обезличивания. Сокращайте объем данных. Не храните данные, в которых нет необходимости, обезличивайте информацию, своевременно уничтожайте данные, актуальность в использовании которых отпала, всегда, когда это возможно, оказывайте услуги анонимно.
  3. Защищайте информацию, которая находится в Вашем распоряжении.
  4. Определите организационные и технические меры защиты данных. Принимаемые меры должны соответствовать характеру личной информации, размеру возможного морального или материального ущерба, который может причинить ее разглашение.

Организационные меры защиты данных от потери, несанкционированного доступа и распространения

  1. Ограничивайте число людей, которые могут иметь доступ к персональной информации.
  2. Персонифицируйте доступ к данным, определяйте персонально ответственных сотрудников за ограничение доступа к персональным данным. Выстраивайте систему доступа к персональным данным таким образом, чтобы ответственный сотрудник всегда знал кто, кроме него просматривал персональные данные и использовал их.
  3. Ограничивайте доступ к документам, папкам, архивам, помещениям, где хранятся данные.
  4. Установите меры ответственности за намеренное разглашение и утечку информации, контроля за соблюдением мер информационной безопасности и выполнением требований уничтожения и обезличивания данных.
  5. Информируйте сотрудников о требованиях соблюдения конфиденциальности, проводите обучение техническим навыкам защиты информации.

Технические меры защиты данных от потери, несанкционированного доступа и распространения

•  Используйте программы защиты от несанкционированного доступа к компьютерам и компьютерным сетям, защиты от вирусов.

•  Делайте регулярное резервное копирование данных, для предотвращения их случайной утери или искажения.

•  Используйте программы шифрования информации.

•  Используйте утилиты для уничтожения информации на жестких дисках.

Медицинское учреждение обязано сохранять в тайне информацию о факте обращения за  медицинской  помощью, о состоянии здоровья, диагнозе и иных  сведений, полученных   при его обследовании и лечении (ч.6 ст.30 "Основ законодательства об охране здоровья граждан").

«...Информация о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иные сведения, полученные при его обследовании и лечении, составляют врачебную тайну. Гражданину должна быть подтверждена гарантия конфиденциальности передаваемых им сведений. (ст. 61 "Основ законодательства об охране здоровья граждан").

Передача информации третьим лицам

Для раскрытия информации третьим лицам всегда требуется согласие пациента.

С согласия гражданина или его законного представителя допускается передача сведений, составляющих врачебную тайну, другим гражданам, в том числе должностным лицам, в интересах обследования и лечения пациента, для проведения научных исследований, публикации в научной литературе, использования этих сведений в учебном процессе и в иных целях.

«Не допускается разглашение сведений, составляющих врачебную тайну, лицами, которым они стали известны при обучении, исполнении профессиональных, служебных и иных обязанностей.

... лица, которым в установленном законом порядке переданы сведения, составляющие врачебную тайну, наравне с медицинскими и фармацевтическими работниками с учетом причиненного гражданину ущерба несут за разглашение врачебной тайны дисциплинарную, административную или уголовную ответственность в соответствии с законодательством» (ст. 61 "Основ законодательства об охране здоровья граждан").

Предоставление сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя допускается в следующих случаях:

  • в целях обследования и лечения гражданина, не способного из-за своего состояния выразить свою волю;
  • при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
  • в случае оказания помощи несовершеннолетнему в возрасте до 15 лет для информирования его родителей или законных представителей;
  • по запросу органов дознания и следствия, прокурора и суда в связи с проведением расследования или судебным разбирательством;
  • при наличии оснований, позволяющих полагать, что вред здоровью гражданина причинен в результате противоправных действий;
Информация также может быть предоставлена третьим лицам без согласия пациента при передаче данных в архив или организации правопреемнику, которая будет исполнять те же функции.

 

Рекомендации подготовлены в рамках проекта

Межрегиональной группы «Правозащитная сеть»

«Защита персональных данных и приватности: модельные кодексы»

Источник: http://privacy.hro.org

Наверх

 

Назад