Андрей Павлович Столбов — докт. техн. наук, заместитель
директора Медицинского информационно-аналитического центра РАМН, профессор
кафедры организации здравоохранения с курсом медицинской статистики и
информатики факультета управления здравоохранением Московской медицинской
академии им. И. М. Сеченова (stolbov@mcramn.ru)
Одной из наиболее актуальных проблем, которые сегодня
приходится решать в медицинском учреждении при использовании компьютеров,
является защита конфиденциальной информации. В связи с этим представляется
целесообразным продолжить рассмотрение основных аспектов организации
автоматизированной обработки персональных данных (ПД) пациентов, которое было
начато в статье профессора А. Щербакова.
Основными правовыми нормативными актами, регламентирующими
требования к процессам обработки ПД, в том числе в учреждениях здравоохранения,
являются:
● Конституция
Российской Федерации, принятая 12.12.1993; ст. 23, 24 (неприкосновенность
частной жизни, личная и семейная тайна), ст. 41, 42 (недопустимость сокрытия
информации, связанной с угрозой жизни и здоровью);
● «Основы
законодательства Российской Федерации об охране здоровья граждан», ...закон РФ
№5487-1 от 22.07.1993 (далее — Основы); в ст. 61 дано определение врачебной
тайны как «информации о факте обращения за медицинской помощью, состоянии
здоровья гражданина, диагнозе его заболевания и иных сведений, полученных при
его обследовании и лечении»;
● федеральный
закон «Об
информации, информационных технологиях и защите информации» №149-ФЗ от
27.07.2006, в котором даны определения таких понятий, как информация,
документирование информации, защита информации, обладатель информации,
конфиденциальность информации, предоставление и распространение информации,
электронное сообщение;
● федеральный
закон «О
персональных данных» №152-ФЗ от 27.07.2006 (далее — Закон), которым
регулируются отношения, связанные с обработкой персональных данных с
использованием средств автоматизации;
● указ
Президента РФ «Об утверждении перечня сведений конфиденциального характера»
№188 от 06.03.1997 (в редакции указа Президента РФ от 23.09.2005 №1111) в
котором к указанной категории сведений отнесены персональные данные и сведения,
содержащие врачебную тайну;
● указ
Президента РФ №351 от 17.03.2008 «О
мерах по обеспечению информационной безопасности Российской Федерации при
использовании информационно-телекоммуникационных сетей международного
информационного обмена»;
● постановление
Правительства РФ №504 от 15.08.2006 «О лицензировании деятельности по
технической защите информации»;
● постановление
Правительства РФ №957 от 29.12.2007 «Об утверждении положений о лицензировании
отдельных видов деятельности, связанных с шифровальными (криптографическими)
средствами»;
● постановление
Правительства РФ №781 от 17.11.2007 «Об утверждении Положения об обеспечении
безопасности персональных данных при их обработке в информационных системах
персональных данных» (далее — Положение), в котором определены основные
требования к указанным информационным системам (ИС);
● постановление
Правительства РФ №512 от 06.07.2008 «Об утверждении требований к материальным
носителям биометрических персональных данных и технологиям хранения таких
данных вне информационных систем персональных данных»;
● постановление
Правительства РФ №687 от 15.09.2008 «Об
утверждении положения об особенностях обработки персональных данных,
осуществляемой без использования средств автоматизации»;
● совместный
приказ ФСТЭК России, ФСБ России, Мининформсвязи России №55/86/20 от 13.02.2008
«Об утверждении Порядка проведения классификации информационных систем
персональных данных».
Напомним, что к персональным данным относятся:
а) сведения о фактах, событиях
и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его
личность (см. Указ Президента РФ № 188 от 06.03.1997);
б) любая информация,
относящаяся к определённому или определяемому на основании такой информации
физическому лицу (субъекту персональных данных; ст. 3 Закона).
Конфиденциальной считается документированная информация,
доступ к которой ограничивается в соответствии с законодательством Российской
Федерации и которая не подлежит передаче третьим лицам без согласия её
обладателя. Обладателем информации, содержащей врачебную тайну, является
пациент (субъект ПД) или его законный представитель — должно быть получено
согласие пациента на передачу касающихся его сведений, содержащих врачебную
тайну, кому-либо, в том числе должностным лицам в интересах его обследования и
лечения (ст. 61 Основ). Под обработкой ПД понимаются любые действия (операции)
с персональными данными, включая сбор, систематизацию, накопление, хранение,
уточнение (обновление, изменение), использование, распространение (в том числе
передачу), обезличивание, блокирование, уничтожение (ст. 3 Закона). Любое
юридическое или физическое лицо, организующее и/или осуществляющее обработку
ПД, а также определяющее цели и содержание их обработки, является оператором ПД
(ст. 3 Закона).
В общем случае оператор ПД — учреждение здравоохранения,
фонд обязательного медицинского страхования (ОМС), страховая медицинская
организация — должен:
1. зарегистрироваться в
качестве оператора ПД — подготовить и направить уведомление в территориальный
орган Федеральной службы по надзору в сфере связи и массовых коммуникаций
(Россвязькомнадзор), которая постановлением Правительства РФ №419 от 02.06.2008
определена в качестве уполномоченного органа по защите прав субъектов
персональных данных (ст. 22, 23 Закона);
2. получить письменные
согласия пациентов (субъектов ПД) на обработку, в том числе передачу их
персональных данных (ст. 6, 9 и 10 Закона); необходимость согласия пациента на
передачу кому-либо сведений о нём, содержащих врачебную тайну, предусмотрена
также ст. 61 Основ (см. выше); далее понятия «пациент», «физическое лицо» и «субъект
ПД» будем считать синонимами;
3. обеспечить
информирование пациентов по их запросам о целях, способах и сроках обработки,
хранения их ПД, а также о лицах, имеющих к ним доступ (часть 4 ст. 14 Закона);
для этого в информационной системе учреждения должны быть реализованы функции
разграничения полномочий, аутентификации, регистрации (учёта) и контроля
доступа пользователей к ПД, автоматического ведения журналов доступа (п. 15
Положения);
4. для определения
необходимых мер и выбора средств защиты ПД провести классификацию своей ИС в
зависимости от характера (состава) и объема обрабатываемых ПД и угроз
безопасности жизненно важным интересам личности в случае нарушения их
конфиденциальности (утечки) и оформить соответствующий документ (п. 6
Положения); следует заметить, что все ИС ПД, в которых обрабатываются сведения
о состоянии здоровья, в соответствии с требованиями приказа ФСТЭК, ФСБ и
Миниформсвязи России №55/86/20 от 13.02.2008 являются системами 1-го класса
(К1, см. далее);
5. организовать и
поддерживать систему защиты конфиденциальной информации от несанкционированного
доступа в соответствии с установленным классом ИС с использованием средств
защиты, сертифицированных в установленном порядке; для подтверждения соответствия
ИС требованиям защиты конфиденциальной информации и ПД необходимо провести
аттестацию системы (см. ниже).
Регистрация в качестве оператора персональных данных.
Порядок регистрации определён приказом Россвязькомнадзора №8 от 17.07.2008 «Об
утверждении образца формы уведомления об обработке персональных данных» (с
изменениями, внесенными приказом №42 от 18.02.2009) . Дадим ряд рекомендаций по
заполнению некоторых позиций уведомления применительно к медицинским
организациям.
1. В позиции формы
уведомления «Цель обработки» следует указать: «в медико-профилактических целях»,
либо «в целях установления медицинского диагноза», либо «в целях оказания
медицинских и медико-социальных услуг» (пп. 3, 4 части 2 ст. 10 Закона), — а
также перечислить цели деятельности организации так, как это указано в
учредительных документах (положении, уставе).
2. В позиции «Категории
персональных данных»:
а) для пациентов: Ф.И.О., пол, дата
рождения, адрес места жительства, реквизиты документа, удостоверяющего
личность, реквизиты полиса медицинского страхования, сведения о наличии льгот,
СНИЛС (страховой номер индивидуального лицевого счета гражданина в системе
персонифицированного учета Пенсионного фонда России), сведения о случаях
обращения за медицинской помощью, данные о состоянии здоровья;
б) для работников организации
(учреждения): Ф.И.О., пол, дата и место рождения, адрес места жительства,
реквизиты документа, удостоверяющего личность, реквизиты полиса медицинского
страхования, СНИЛС, ИНН, сведения о наличии льгот, данные кадрового учёта
(образование, квалификация, должность и т.д.), сведения о заработной плате.
3. В
позиции «Категории субъектов персональных данных» надо указать: «работники
учреждения», для пациентов — гражданство («гражданин РФ», «иностранный гражданин»,
«лицо без гражданства»).
4. В
позиции «Правовое основание обработки...» указать информацию в соответствии с
пунктами 3, 4 части 2 статьи 10 Закона, ссылки на нормативные документы
территориального органа управления здравоохранением и фонда ОМС, реквизиты
лицензии на медицинскую деятельность. Следует заметить, что в Основах
отсутствуют в явном виде какие-либо нормы и требования, связанные с ведением
медицинской документации и обработкой ПД пациента как без использования, так и
с использованием средств автоматизации (компьютеров). Поэтому ссылки на этот
закон в данном случае не приведены. Надо также указать, что обработка ПД
работников учреждения осуществляется на основании ст. 85—90 Трудового кодекса
РФ.
5. В
позиции «Перечень действий с персональными данными...» указать: «Смешанная
обработка — ввод, сбор, систематизация, накопление, хранение, изменение,
удаление, использование, передача по внутренней сети». Если в медицинском
учреждении формируются массивы персонифицированных данных для передачи во
внешние организации (страховые медицинские организации, фонд ОМС, медицинский
информационно-аналитический центр (МИАЦ) и т. п.), то необходимо указать, каким
образом они передаются — на машинных носителях, по защищенным каналам связи и
т. п. В этом случае в позиции «Правовое основание обработки...» в дополнение к
перечисленным выше документам следует также привести реквизиты нормативных
распорядительных документов (приказов и т.п.), на основании которых эти данные
передаются.
Надо обратить внимание, что согласно приказу
Россвязькомнадзора №42 от 18.02.2009 оператор в уведомлении должен указать
класс информационной системы, обрабатывающей ПД, который присвоен ей в
соответствии с требованиями приказа ФСТЭК России, ФСБ России, Мининформсвязи
России №55/86/20 от 13.02.2008.
Напомним, что в случае изменения сведений, указанных в
уведомлении, оператор обязан в течение десяти рабочих дней сообщить об этом в
уполномоченный орган по защите прав субъектов ПД (часть 6 ст. 22 Закона).
Реестр операторов. Органы Россвязькомнадзора на
основании уведомлений формируют и ведут единый реестр операторов ПД,
осуществляющих обработку персональных данных. Расходы на рассмотрение
уведомлений и ведение реестра осуществляются за счёт средств федерального
бюджета. Порядок ведения реестра утвержден приказом Россвязьохранкультуры №154
от 28.03.2008 «Об утверждении Положения о ведении реестра операторов,
осуществляющих обработку персональных данных», в котором определены процедуры
включения и исключения операторов в(из) реестр(а). Решение о включении
оператора в реестр или об отказе принимается в течение тридцати дней с даты
поступления уведомления. Орган по защите прав субъектов ПД вправе проверять
указанные в уведомлении сведения на полноту и достоверность, а также
запрашивать и получать на безвозмездной основе как у физических, так и у
юридических лиц информацию, необходимую для осуществления своих полномочий. При
включении в реестр каждому оператору присваивается регистрационный номер.
Исключение оператора из реестра осуществляется в следующих случаях:
● по
письменному заявлению оператора об исключении из реестра с приложением
обоснований;
● по
решению суда о прекращении оператором деятельности по обработке персональных
данных;
● в
связи с принятием уполномоченным органом по защите прав субъектов ПД решения по
приостановлению или прекращению оператором обработки ПД, осуществляемой с
нарушением требований Закона.
Информация о включении или исключении оператора в(из)
реестр(а) публикуется в трехдневный срок на официальном сайте уполномоченного
органа по защите прав субъектов ПД (www.rsoc.ru). Сведения об операторах,
включенных в реестр, являются общедоступными за исключением данных о мерах по
защите информации. Доступ к реестру осуществляется через интернет-портал по
адресу pd.rsoc.ru.
Добровольное письменное согласие пациента на обработку его
персональных данных. К сожалению, в настоящее время процедуры и формы
документального подтверждения согласия пациента на обработку и передачу его
персональных данных, а также порядок его информирования о целях и способах
обработки, о лицах, имеющих к ним доступ, на федеральном и ведомственном уровне
пока еще не определены и не регламентированы. Поэтому дадим некоторые пояснения
и рекомендации.
Образец согласия пациента, подготовленный в соответствии с
требованиями статьи 9 Закона, применительно к медицинскому учреждению,
работающему в системе ОМС, представлен во врезке (аналогичное согласие для
ребёнка в возрасте до 15 лет дается его родителем или опекуном). В учреждении
необходимо наладить учёт и хранение этих документов, предъявляемых в качестве
доказательства легитимности обработки ПД пациентов (часть 3 ст. 9 Закона). В
амбулаторных учреждениях письменное согласие целесообразно оформлять при первом
обращении пациента и оформлении амбулаторной карты, в стационарах — при каждом
случае госпитализации в виде вкладыша в историю болезни. Напомним, что в
соответствии со ст. 61 Основ предоставление (то есть передача строго
определённому кругу лиц) персонифицированных сведений о состоянии здоровья
пациента без его согласия допускается в следующих случаях:
● в
целях его обследования и лечения, если он не способен из-за своего состояния
выразить собственную волю;
● при
угрозе распространения инфекционных заболеваний, массовых отравлений и
поражений;
● по
запросу органов дознания, следствия и суда;
● при
оказании помощи несовершеннолетнему в возрасте до 15 лет для информирования его
родителей или законных представителей;
● если
есть основания полагать, что вред здоровью причинен в результате противоправных
действий;
● в
целях проведения военно-врачебной экспертизы.
Стоит обратить внимание, что в соответствии с
постановлением Правительства РФ №687 от 15.09.2008 персональные данные,
обрабатываемые на бумажных носителях, должны обособляться от иной информации —
путём их представления на отдельных листах, в специальных разделах или в полях
форм (бланков) документов (п. 4 этого постановления). Кроме того, в типовых
формах документов должно быть предусмотрено поле, в котором субъект ПД может
поставить отметку о своем согласии на обработку его ПД (подпункт «б» пункта 7).
Из этого, в частности, следует, что подавляющее большинство персонифицированных
форм учётно-отчётных документов, которые сейчас используются в здравоохранении,
подлежит переработке.
Еще одно замечание, не имеющее прямого отношения к теме
этой статьи, касается согласия медицинского работника на передачу его
персональных данных. В соответствии со статьей 88 Трудового кодекса РФ
медицинское учреждение при передаче ПД сотрудника, например, в органы
Росздравнадзора для ведения федерального регистра медицинских работников (см.
приказ Минздравсоцразвития России №14н от 17.01.2008) обязано получить его
письменное на то согласие. Целесообразно включить это согласие в трудовой
договор с работником. На сайте www.54.rsoc.ru опубликованы образцы некоторых
документов, необходимых для организации работы с персональными данными в
учреждении, в частности положение о защите ПД работников, обязательство
работника о неразглашении конфиденциальной информации (ПД) и др.
Обработка персональных данных в медицинских учреждениях
должна осуществляться с соблюдением необходимых мер, обеспечивающих конфиденциальность
информации и её защиту от несанкционированного доступа.
Организация защиты конфиденциальной информации. Напомним,
что защита информации — это целый комплекс организационно-технических
мероприятий, направленных на предотвращение несанкционированного доступа к
данным и документам, их потери и искажения. Организация и поддержание системы
информационной безопасности (ИБ) требуют значительных ресурсов. Например, в
финансово-кредитных организациях расходы на защиту информации составляют около
20% от совокупных расходов на ИТ.
Работы по организации системы ИБ, включая защиту ПД,
должны быть неотъемлемой частью проекта по созданию или модернизации ИС (п. 4
Положения), и их следует выделить в отдельный этап или контракт. В общем случае
они включают три фазы:
1. предпроектную фазу —
обследование и определение класса ИС, предварительное определение способов и
состава средств защиты информации (СЗИ);
2. проектную фазу —
разработку технического задания на создание комплексной системы защиты
информации, в том числе построение модели угроз безопасности конфиденциальной
информации, техническое и рабочее проектирование системы;
3. ввод в эксплуатацию —
закупку сертифицированных СЗИ, их инсталляцию, обучение персонала, издание
организационно-распорядительных документов о допуске персонала и регламентах
обработки конфиденциальной информации, назначение ответственных, организацию
контроля, аудита и т. п., а также аттестацию системы на соответствие
требованиям безопасности обработки конфиденциальной информации.
Классификация ИС, в которых обрабатываются персональные
данные, должна отвечать требованиям документа «Порядок проведения классификации
информационных систем персональных данных», утвержденного совместным приказом
ФСТЭК, ФСБ и Мининформсвязи России №55/86/20от 13.02.2008. В этом документе
(далее — Порядок) указано, что:
● классификация
проводится на основе таких критериев, как категория обрабатываемых данных
(сведения о состоянии здоровья относятся к наивысшей, первой категории — см. п.
6 Порядка), их объём, характеристики безопасности, структура ИС, наличие
подключения к Интернету, режим обработки ПД, режим разграничения прав доступа,
местонахождение технических средств;
● присвоение
класса ИС осуществляется самим оператором ПД (медицинским учреждением), класс
должен быть оформлен документально; заметим, что в соответствии с п. 8 Порядка
медицинские ИС относятся к специальным системам, поскольку в них обрабатываются
данные о состоянии здоровья пациентов. Как указано в п. 16 Порядка, класс
специальных ИС определяется на основе анализа данных и модели угроз
безопасности ПД в соответствии с методическими документами ФСТЭК и ФСБ. К таким
документам сегодня относятся следующие.
1. «Методика определения
актуальных угроз безопасности персональных данных при их обработке в информационных
системах персональных данных» (утвержден ФСТЭК 14.02.2008, имеет гриф «Для
служебного пользования» — ДСП; документы с грифом ДСП могут быть получены в
органах ФСТЭК по официальному запросу).
2. «Базовая модель угроз
безопасности персональных данных при их обработке в информационных системах
персональных данных» (утверждён ФСТЭК 15.02.2008, ДСП).
3. «Основные мероприятия по
организации и техническому обеспечению безопасности персональных данных,
обрабатываемых в информационных системах персональных данных» (утверждён ФСТЭК
15.02.2008, ДСП).
4. «Рекомендации по
обеспечению безопасности персональных данных при их обработке в информационных
системах персональных данных» (утверждён ФСТЭК 15.02.2008, ДСП).
5. «Специальные требования
и рекомендации по технической защите конфиденциальной информации» (утвержден
Гостехкомиссией России 30.08.2002).
6. «Автоматизированные
системы. Защита от несанкционированного доступа к информации. Классификация
автоматизированных систем и требования по защите информации» (утверждён Гостехкомиссией
России 30.03.1992).
7. «Типовые требования по
организации и обеспечению функционирования шифровальных (криптографических)
средств, предназначенных для защиты информации, не содержащей сведений,
составляющих государственную тайну, в случае их использования для обеспечения
безопасности персональных данных при их обработке в информационных системах
персональных данных» (утверждён руководством 8 Центра ФСБ России 21.02.2008, №149/6/6-622).
8. «Методические
рекомендации по обеспечению с помощью криптосредств безопасности персональных
данных при их обработке в информационных системах персональных данных с
использованием средств автоматизации» (утверждён руководством 8 Центра ФСБ
России 21.02.2008, №149/54-144).
В соответствии с перечисленными документами ИС организаций
здравоохранения, в которых обрабатываются персональные данные о состоянии
здоровья пациентов, необходимо отнести к следующим классам:
● класс
1Г (максимальный гриф обрабатываемой информации — «конфиденциально») — согласно
руководящему документу, указанному в приведенном выше перечне под номером
6;
● класс
К1 (все ИС, в которых обрабатывается информация первой категорииотносятся к
1-му классу (К1) — согласно документу под номером 4 в перечне; как уже отмечал
в своей статье А. Щербаков, для защиты ПД в системах этого класса должны
использоваться криптографические средства.
В соответствии с перечисленными выше документами
организации, эксплуатирующие информационные системы классов 1Г и К1, обязаны:
а) получить лицензию ФСТЭК на
техническую защиту информации (срок действия — пять лет);
б) выполнить все необходимые
мероприятия по обеспечению защиты информации для указанных классов
информационных систем;
в) провести аттестационные
испытания ИС по требованиям ФСТЭК.
Кроме того, при использовании в учреждении средств
криптографической защиты информации может потребоваться получение лицензии ФСБ
(см. указ. статью). Заметим, что во всех случаях установка в ИС ПД
сертифицированных средств криптографической защиты информации должна
осуществляться организацией, имеющей соответствующую лицензию ФСБ.
Аттестация ИС проводится с привлечением внешней
организации-аудитора, имеющей соответствующий аттестат аккредитации ФСТЭК. Если
проверка показала, что система защиты ПД данной ИС соответствует установленным
требованиям, то выдается аттестат соответствия (сроком на три года). С порядком
получения лицензии на техническую защиту информации, проведения аттестации ИС и
перечнем организаций, уполномоченных проводить аттестационные испытания, можно
ознакомится на сайте ФСТЭК (www.fstec.ru).
При организации рабочих процессов в учреждении необходимо
стремиться к максимально возможному сокращению перечня сотрудников, имеющих
доступ к ПД пациентов. Руководитель учреждения должен утвердить перечень
должностных лиц, допущенных к обработке персональных данных в информационной
системе. Порядок их доступа к конфиденциальным сведениям и ПД, хранящимся в
базах данных ИС, должен определяться соответствующими регламентами и
должностными инструкциями.
В заключение хотелось бы отметить, что описанные выше
положения и рекомендации далеко не исчерпывают всех аспектов проблемы
организации обработки персональных данных в здравоохранении. Не рассмотрены,
например, вопросы, связанные с процедурой получения согласия пациента на
обработку ПД теми операторами, к которым он непосредственно не обращается за
медицинской помощью. К ним, в частности, относятся учреждения, которые
формируют и ведут различного рода сводные медицинские персонифицированные
(территориально-популяционные) регистры, — МИАЦ, территориальные фонды ОМС и
др. Более обстоятельного рассмотрения требуют также вопросы ИТ-аутсорсинга при
обработке и организации защиты конфиденциальной информации, получения
медицинским учреждением необходимых лицензий и др. Очевидно, что организацией
системы информационной безопасности должны заниматься компетентные специалисты,
имеющие специальную профессиональную подготовку. Приказом Минздравсоцразвития
России №247н от 29.05.2008 в перечень профессиональных квалификационных групп
включены должности специалистов (техники, инженеры и т. д.) по защите
информации. К сожалению, в настоящее время в штатных расписаниях учреждений
здравоохранения сотрудники по информационной безопасности за очень редкими
исключениями не предусмотрены. Так же как и в бюджетах большинства медицинских
учреждений не предусмотрены расходы на организацию системы защиты информации. А
между тем до 1 января 2010 г. — срока, к которому по закону «О персональных
данных» все информационные системы должны быть приведены в соответствие с его
требованиями, осталось очень мало времени. Необходимы срочные безотлагательные
меры, в том числе и со стороны Минздравсоцразвития России.1
Образец письменного согласия пациента на обработку его
персональных данных
|
СОГЛАСИЕ
на обработку персональных данных
Я, нижеподписавшийся <Ф.И.О. полностью>,
проживающий по адресу <по месту регистрации>, паспорт <серия и
номер>, выдан <дата и название выдавшего органа>, в соответствии с
требованиями статьи 9 федерального закона от 27.07.06 г. «О персональных
данных» №152-ФЗ, подтверждаю свое согласие на обработку <название и адрес
медицинского учреждения> (далее — Оператор) моих персональных данных,
включающих: фамилию, имя, отчество, пол, дату рождения, адрес места жительства,
контактный(е) телефон(ы), реквизиты полиса ОМС (ДМС), страховой номер
индивидуального лицевого счета в Пенсионном фонде России (СНИЛС), данные о
состоянии моего здоровья, заболеваниях, случаях обращения за медицинской
помощью — в медико-профилактических целях, в целях установления медицинского
диагноза и оказания медицинских услуг при условии, что их обработка
осуществляется лицом, профессионально занимающимся медицинской деятельностью
и обязанным сохранять врачебную тайну. В процессе оказания Оператором мне
медицинской помощи я предоставляю право медицинским работникам передавать мои
персональные данные, содержащие сведения, составляющие врачебную тайну,
другим должностным лицам Оператора, в интересах моего обследования и лечения.
Предоставляю Оператору право осуществлять все действия
(операции) с моими персональными данными, включая сбор, систематизацию,
накопление, хранение, обновление, изменение, использование, обезличивание,
блокирование, уничтожение. Оператор вправе обрабатывать мои персональные
данные посредством внесения их в электронную базу данных, включения в списки
(реестры) и отчетные формы, предусмотренные документами, регламентирующими
предоставление отчетных данных (документов) по ОМС (договором ДМС).
Оператор имеет право во исполнение своих обязательств по
работе в системе ОМС (по договору ДМС) на обмен (прием и передачу) моими
персональными данными со страховой медицинской организацией <название>
и территориальным фондом ОМС с использованием машинных носителей или по
каналам связи с соблюдением мер, обеспечивающих их защиту от
несанкционированного доступа, при условии, что их прием и обработка будут
осуществляется лицом, обязанным сохранять профессиональную тайну.
Срок хранения моих персональных данных соответствует
сроку хранения первичных медицинских документов (медицинской карты) и
составляет <двадцать пять лет>.
Передача моих персональных данных иным лицам или иное их
разглашение может осуществляться только с моего письменного согласия.
Настоящее согласие дано мной <дата> и действует
бессрочно.
Я оставляю за собой право отозвать свое согласие
посредством составления соответствующего письменного документа, который может
быть направлен мной в адрес Оператора по почте заказным письмом с
уведомлением о вручении либо вручен лично под расписку представителю
Оператора.
В случае получения моего письменного заявления об отзыве
настоящего согласия на обработку персональных данных Оператор обязан
прекратить их обработку в течение периода времени, необходимого для
завершения взаиморасчетов по оплате оказанной мне до этого медицинской
помощи.
Контактный(е) телефон(ы) <...> и почтовый адрес
<...>
Подпись субъекта персональных
данных __________
|
1. В перечне поручений Президента РФ по итогам заседания президиума
Госсовета РФ 17.07.08 г. (утвержден 01.08.08 г. № Пр-1572ГС) правительству дано
поручение в срок до 1 декабря 2008 г. «утвердить комплекс мер по созданию
государственной информационной системы персонифицированного учета оказания
медицинской помощи, предусмотрев разработку необходимых нормативных правовых
актов, а также подключение государственных и муниципальных медицинских
учреждений к сети Интернет» (п. 1 «з»).