Что относят к персональным данным в медицине

Персональные данные — это любая информация, которая прямо или косвенно относится к человеку (п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»).

Общие персональные данные:

  • фамилия, имя и отчество;

  • дата рождения;

  • адреса регистрации и проживания;

  • номера телефонов как пациента, так и указанных им контактных лиц;

  • адрес электронной почты;

  • идентификаторы по личным документам — сведения из паспорта, СНИЛС, ИНН, полиса ОМС/ДМС.

Сведения о состоянии здоровья:

  • результаты анализов и обследований;

  • диагнозы;

  • история болезни;

  • сведения о перенесенных операциях;

  • данные о назначенном лечении и лекарствах;

  • информация о противопоказаниях и аллергиях;

  • заключения врачей;

  • выписки из медицинской карты, в том числе электронной;

  • сведения о беременности и родах.

Что такое обработка персональных данных

Обработка персональных данных — это любые действия с ними, как с помощью автоматизированных систем, так и без них (п. 3 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). К таким действиям относятся сбор, хранение, использование, передача, изменение, обезличивание и удаление информации.

Специфика работы с персональными данными пациентов в медучреждениях

В медицине обработка персональных данных всегда связана со специальной категорией — сведениями о здоровье пациента. На них распространяется режим врачебной тайны (ст. 13 Федерального закона от 21.11.2011 № 323-ФЗ). Этот режим обязателен не только для врачей, но и для всего персонала клиники — от администраторов до медсестер.

Обрабатывать такие данные можно только на законных основаниях (ч. 2 ст. 10 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных»). Обычно требуется письменное согласие пациента. Без него обработка возможна лишь в исключительных случаях: когда есть угроза жизни и здоровья или когда данные нужны для постановки диагноза и лечения. При этом работать с ними может только медработник, который обязан хранить врачебную тайну.

Права пациентов

В медицинских организациях персональные данные пациента обрабатываются на каждом шаге — при записи на прием, оформлении карты или получении результатов анализов. Поэтому у пациента есть ряд прав, которые можно разделить на несколько групп.

Право на добровольное согласие. Пациент сам решает, предоставлять ли свои персональные данные. Никто не может заставить его подписывать согласие на обработку.

Право на отзыв согласия. Пациент в любой момент может отозвать свое согласие на обработку персональных данных и потребовать остановить их использование, включая удаление.

Право на доступ к своим персональным данным. Пациент имеет право получить доступ ко всем своим медицинским документам, включая электронные, а при необходимости — запросить их копии на бумаге. Кроме того, он может сам определить, кому разрешено передавать сведения о его здоровье, в том числе после его смерти.

Право на исправление и уточнение данных. Пациент имеет право требовать исправления своих персональных данных, если они неверные, устарели или указаны не полностью.

Право на конфиденциальность сведений о здоровье. Данные, относящиеся к врачебной тайне, не могут быть раскрыты без согласия пациента. За нарушение этого правила предусмотрена гражданская и уголовная ответственность.

Обязанности медучреждений как операторов персональных данных

Каждое медучреждение является оператором персональных данных и должно соблюдать установленные правила. Перед началом работы с ними нужно уведомить Роскомнадзор, назначить ответственного, утвердить политику по обработке данных и разместить ее на сайте. Также важно принимать локальные акты, например при переходе на электронную меддокументацию.

Пациентам нужно предоставлять всю положенную им информацию, а хранить данные — только на серверах в России. Медорганизация должна проводить внутренний контроль, обучать сотрудников правилам работы с персональными данными и по запросу бесплатно предоставлять пациенту доступ к его данным.

Медучреждение обязано соблюдать закон о защите данных, применять технические меры безопасности и прекращать обработку при отзыве согласия пациента или достижении цели. Нарушения нужно устранять по требованию пациента или Роскомнадзора — уточнять, блокировать или удалять данные. Кроме того, организация должна предоставлять документы по запросу Роскомнадзора и сообщать ему о фактах утечки.

Передача персональных данных пациентов

В медицине действует главный принцип — нельзя разглашать сведения о пациенте без его согласия. Это касается и факта обращения за помощью, и информации о состоянии здоровья. Согласие должно быть письменным, конкретным, добровольным и подписанным пациентом или его представителем. Без него передача данных запрещена, кроме случаев, установленных законом. Нарушением будет, например, обсуждение диагноза при посторонних, публикация анализов в соцсетях или пересылка скриншотов через мессенджеры.

Когда можно разглашать персональные данные в медицине

Разглашать сведения о пациенте можно только с его согласия, кроме случаев, прямо указанных в законе (ч. 4 ст. 13 Федерального закона от 21.11.2011 № 323-ФЗ).

  • Пациент не может выразить волю, но ему требуется срочная медицинская помощь
  • Угроза распространения инфекционных заболеваний и массовых отравлений
  • По запросу компетентных государственных органов
  • Передача сведений органам МВД
  • В целях проведения военно-врачебной экспертизы
  • В интересах несовершеннолетнего в возрасте до 15 лет
  • При оказании наркологической помощи
  • Для учета и контроля в системе обязательного медицинского страхования
  • В целях расследования несчастных случаев на производстве
  • Для контроля безопасности и качества медицинской деятельности