Наверх

Обработка персональных данных в медицинских организациях

Архив
Время чтения: 23 минуты
1
Обработка персональных данных в медицинских организациях

Одной из наиболее актуальных проблем, которые сегодня приходится решать в медицинском учреждении при использовании компьютеров, является защита конфиденциальной информации.

Андрей Павлович Столбов — докт. техн. наук, заместитель директора Медицинского информационно-аналитического центра РАМН, профессор кафедры организации здравоохранения с курсом медицинской статистики и информатики факультета управления здравоохранением Московской медицинской академии им. И. М. Сеченова (stolbov@mcramn.ru)

Одной из наиболее актуальных проблем, которые сегодня приходится решать в медицинском учреждении при использовании компьютеров, является защита конфиденциальной информации. В связи с этим представляется целесообразным продолжить рассмотрение основных аспектов организации автоматизированной обработки персональных данных (ПД) пациентов, которое было начато в статье профессора А. Щербакова.

Основными правовыми нормативными актами, регламентирующими требования к процессам обработки ПД, в том числе в учреждениях здравоохранения, являются:

●  Конституция Российской Федерации, принятая 12.12.1993; ст. 23, 24 (неприкосновенность частной жизни, личная и семейная тайна), ст. 41, 42 (недопустимость сокрытия информации, связанной с угрозой жизни и здоровью);

●  «Основы законодательства Российской Федерации об охране здоровья граждан», ...закон РФ №5487-1 от 22.07.1993 (далее — Основы); в ст. 61 дано определение врачебной тайны как «информации о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иных сведений, полученных при его обследовании и лечении»;

●  федеральный закон «Об информации, информационных технологиях и защите информации» №149-ФЗ от 27.07.2006, в котором даны определения таких понятий, как информация, документирование информации, защита информации, обладатель информации, конфиденциальность информации, предоставление и распространение информации, электронное сообщение; 

●  федеральный закон «О персональных данных» №152-ФЗ от 27.07.2006 (далее — Закон), которым регулируются отношения, связанные с обработкой персональных данных с использованием средств автоматизации;

●  указ Президента РФ «Об утверждении перечня сведений конфиденциального характера» №188 от 06.03.1997 (в редакции указа Президента РФ от 23.09.2005 №1111) в котором к указанной категории сведений отнесены персональные данные и сведения, содержащие врачебную тайну;

●  указ Президента РФ №351 от 17.03.2008 «О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена»; 

●  постановление Правительства РФ №504 от 15.08.2006 «О лицензировании деятельности по технической защите информации»; 

●  постановление Правительства РФ №957 от 29.12.2007 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами»; 

●  постановление Правительства РФ №781 от 17.11.2007 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» (далее — Положение), в котором определены основные требования к указанным информационным системам (ИС); 

●  постановление Правительства РФ №512 от 06.07.2008 «Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных»; 

●  постановление Правительства РФ №687 от 15.09.2008 «Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»; 

●  совместный приказ ФСТЭК России, ФСБ России, Мининформсвязи России №55/86/20 от 13.02.2008 «Об утверждении Порядка проведения классификации информационных систем персональных данных».

Напомним, что к персональным данным относятся:

а)  сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (см. Указ Президента РФ № 188 от 06.03.1997);

б)  любая информация, относящаяся к определённому или определяемому на основании такой информации физическому лицу (субъекту персональных данных; ст. 3 Закона).

Конфиденциальной считается документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и которая не подлежит передаче третьим лицам без согласия её обладателя. Обладателем информации, содержащей врачебную тайну, является пациент (субъект ПД) или его законный представитель — должно быть получено согласие пациента на передачу касающихся его сведений, содержащих врачебную тайну, кому-либо, в том числе должностным лицам в интересах его обследования и лечения (ст. 61 Основ). Под обработкой ПД понимаются любые действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение (ст. 3 Закона). Любое юридическое или физическое лицо, организующее и/или осуществляющее обработку ПД, а также определяющее цели и содержание их обработки, является оператором ПД (ст. 3 Закона).

В общем случае оператор ПД — учреждение здравоохранения, фонд обязательного медицинского страхования (ОМС), страховая медицинская организация — должен:

1. зарегистрироваться в качестве оператора ПД — подготовить и направить уведомление в территориальный орган Федеральной службы по надзору в сфере связи и массовых коммуникаций (Россвязькомнадзор), которая постановлением Правительства РФ №419 от 02.06.2008 определена в качестве уполномоченного органа по защите прав субъектов персональных данных (ст. 22, 23 Закона);

2. получить письменные согласия пациентов (субъектов ПД) на обработку, в том числе передачу их персональных данных (ст. 6, 9 и 10 Закона); необходимость согласия пациента на передачу кому-либо сведений о нём, содержащих врачебную тайну, предусмотрена также ст. 61 Основ (см. выше); далее понятия «пациент», «физическое лицо» и «субъект ПД» будем считать синонимами;

3. обеспечить информирование пациентов по их запросам о целях, способах и сроках обработки, хранения их ПД, а также о лицах, имеющих к ним доступ (часть 4 ст. 14 Закона); для этого в информационной системе учреждения должны быть реализованы функции разграничения полномочий, аутентификации, регистрации (учёта) и контроля доступа пользователей к ПД, автоматического ведения журналов доступа (п. 15 Положения);

4. для определения необходимых мер и выбора средств защиты ПД провести классификацию своей ИС в зависимости от характера (состава) и объема обрабатываемых ПД и угроз безопасности жизненно важным интересам личности в случае нарушения их конфиденциальности (утечки) и оформить соответствующий документ (п. 6 Положения); следует заметить, что все ИС ПД, в которых обрабатываются сведения о состоянии здоровья, в соответствии с требованиями приказа ФСТЭК, ФСБ и Миниформсвязи России №55/86/20 от 13.02.2008 являются системами 1-го класса (К1, см. далее);

5. организовать и поддерживать систему защиты конфиденциальной информации от несанкционированного доступа в соответствии с установленным классом ИС с использованием средств защиты, сертифицированных в установленном порядке; для подтверждения соответствия ИС требованиям защиты конфиденциальной информации и ПД необходимо провести аттестацию системы (см. ниже).

Регистрация в качестве оператора персональных данных. Порядок регистрации определён приказом Россвязькомнадзора №8 от 17.07.2008 «Об утверждении образца формы уведомления об обработке персональных данных» (с изменениями, внесенными приказом №42 от 18.02.2009) . Дадим ряд рекомендаций по заполнению некоторых позиций уведомления применительно к медицинским организациям.

1. В позиции формы уведомления «Цель обработки» следует указать: «в медико-профилактических целях», либо «в целях установления медицинского диагноза», либо «в целях оказания медицинских и медико-социальных услуг» (пп. 3, 4 части 2 ст. 10 Закона), — а также перечислить цели деятельности организации так, как это указано в учредительных документах (положении, уставе).

2. В позиции «Категории персональных данных»:

а) для пациентов: Ф.И.О., пол, дата рождения, адрес места жительства, реквизиты документа, удостоверяющего личность, реквизиты полиса медицинского страхования, сведения о наличии льгот, СНИЛС (страховой номер индивидуального лицевого счета гражданина в системе персонифицированного учета Пенсионного фонда России), сведения о случаях обращения за медицинской помощью, данные о состоянии здоровья;

б) для работников организации (учреждения): Ф.И.О., пол, дата и место рождения, адрес места жительства, реквизиты документа, удостоверяющего личность, реквизиты полиса медицинского страхования, СНИЛС, ИНН, сведения о наличии льгот, данные кадрового учёта (образование, квалификация, должность и т.д.), сведения о заработной плате.

3.  В позиции «Категории субъектов персональных данных» надо указать: «работники учреждения», для пациентов — гражданство («гражданин РФ», «иностранный гражданин», «лицо без гражданства»).

4.  В позиции «Правовое основание обработки...» указать информацию в соответствии с пунктами 3, 4 части 2 статьи 10 Закона, ссылки на нормативные документы территориального органа управления здравоохранением и фонда ОМС, реквизиты лицензии на медицинскую деятельность. Следует заметить, что в Основах отсутствуют в явном виде какие-либо нормы и требования, связанные с ведением медицинской документации и обработкой ПД пациента как без использования, так и с использованием средств автоматизации (компьютеров). Поэтому ссылки на этот закон в данном случае не приведены. Надо также указать, что обработка ПД работников учреждения осуществляется на основании ст. 85—90 Трудового кодекса РФ.

5.  В позиции «Перечень действий с персональными данными...» указать: «Смешанная обработка — ввод, сбор, систематизация, накопление, хранение, изменение, удаление, использование, передача по внутренней сети». Если в медицинском учреждении формируются массивы персонифицированных данных для передачи во внешние организации (страховые медицинские организации, фонд ОМС, медицинский информационно-аналитический центр (МИАЦ) и т. п.), то необходимо указать, каким образом они передаются — на машинных носителях, по защищенным каналам связи и т. п. В этом случае в позиции «Правовое основание обработки...» в дополнение к перечисленным выше документам следует также привести реквизиты нормативных распорядительных документов (приказов и т.п.), на основании которых эти данные передаются.

Надо обратить внимание, что согласно приказу Россвязькомнадзора №42 от 18.02.2009 оператор в уведомлении должен указать класс информационной системы, обрабатывающей ПД, который присвоен ей в соответствии с требованиями приказа ФСТЭК России, ФСБ России, Мининформсвязи России №55/86/20 от 13.02.2008.

Напомним, что в случае изменения сведений, указанных в уведомлении, оператор обязан в течение десяти рабочих дней сообщить об этом в уполномоченный орган по защите прав субъектов ПД (часть 6 ст. 22 Закона).

Реестр операторов. Органы Россвязькомнадзора на основании уведомлений формируют и ведут единый реестр операторов ПД, осуществляющих обработку персональных данных. Расходы на рассмотрение уведомлений и ведение реестра осуществляются за счёт средств федерального бюджета. Порядок ведения реестра утвержден приказом Россвязьохранкультуры №154 от 28.03.2008 «Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных», в котором определены процедуры включения и исключения операторов в(из) реестр(а). Решение о включении оператора в реестр или об отказе принимается в течение тридцати дней с даты поступления уведомления. Орган по защите прав субъектов ПД вправе проверять указанные в уведомлении сведения на полноту и достоверность, а также запрашивать и получать на безвозмездной основе как у физических, так и у юридических лиц информацию, необходимую для осуществления своих полномочий. При включении в реестр каждому оператору присваивается регистрационный номер. Исключение оператора из реестра осуществляется в следующих случаях:

●  по письменному заявлению оператора об исключении из реестра с приложением обоснований;

●  по решению суда о прекращении оператором деятельности по обработке персональных данных;

●  в связи с принятием уполномоченным органом по защите прав субъектов ПД решения по приостановлению или прекращению оператором обработки ПД, осуществляемой с нарушением требований Закона.

Информация о включении или исключении оператора в(из) реестр(а) публикуется в трехдневный срок на официальном сайте уполномоченного органа по защите прав субъектов ПД (www.rsoc.ru). Сведения об операторах, включенных в реестр, являются общедоступными за исключением данных о мерах по защите информации. Доступ к реестру осуществляется через интернет-портал по адресу pd.rsoc.ru.

Добровольное письменное согласие пациента на обработку его персональных данных. К сожалению, в настоящее время процедуры и формы документального подтверждения согласия пациента на обработку и передачу его персональных данных, а также порядок его информирования о целях и способах обработки, о лицах, имеющих к ним доступ, на федеральном и ведомственном уровне пока еще не определены и не регламентированы. Поэтому дадим некоторые пояснения и рекомендации.

Образец согласия пациента, подготовленный в соответствии с требованиями статьи 9 Закона, применительно к медицинскому учреждению, работающему в системе ОМС, представлен во врезке (аналогичное согласие для ребёнка в возрасте до 15 лет дается его родителем или опекуном). В учреждении необходимо наладить учёт и хранение этих документов, предъявляемых в качестве доказательства легитимности обработки ПД пациентов (часть 3 ст. 9 Закона). В амбулаторных учреждениях письменное согласие целесообразно оформлять при первом обращении пациента и оформлении амбулаторной карты, в стационарах — при каждом случае госпитализации в виде вкладыша в историю болезни. Напомним, что в соответствии со ст. 61 Основ предоставление (то есть передача строго определённому кругу лиц) персонифицированных сведений о состоянии здоровья пациента без его согласия допускается в следующих случаях:

●  в целях его обследования и лечения, если он не способен из-за своего состояния выразить собственную волю;

●  при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;

●  по запросу органов дознания, следствия и суда;

●  при оказании помощи несовершеннолетнему в возрасте до 15 лет для информирования его родителей или законных представителей;

●  если есть основания полагать, что вред здоровью причинен в результате противоправных действий;

●  в целях проведения военно-врачебной экспертизы.

Стоит обратить внимание, что в соответствии с постановлением Правительства РФ №687 от 15.09.2008 персональные данные, обрабатываемые на бумажных носителях, должны обособляться от иной информации — путём их представления на отдельных листах, в специальных разделах или в полях форм (бланков) документов (п. 4 этого постановления). Кроме того, в типовых формах документов должно быть предусмотрено поле, в котором субъект ПД может поставить отметку о своем согласии на обработку его ПД (подпункт «б» пункта 7). Из этого, в частности, следует, что подавляющее большинство персонифицированных форм учётно-отчётных документов, которые сейчас используются в здравоохранении, подлежит переработке.

Еще одно замечание, не имеющее прямого отношения к теме этой статьи, касается согласия медицинского работника на передачу его персональных данных. В соответствии со статьей 88 Трудового кодекса РФ медицинское учреждение при передаче ПД сотрудника, например, в органы Росздравнадзора для ведения федерального регистра медицинских работников (см. приказ Минздравсоцразвития России №14н от 17.01.2008) обязано получить его письменное на то согласие. Целесообразно включить это согласие в трудовой договор с работником. На сайте www.54.rsoc.ru опубликованы образцы некоторых документов, необходимых для организации работы с персональными данными в учреждении, в частности положение о защите ПД работников, обязательство работника о неразглашении конфиденциальной информации (ПД) и др.

Обработка персональных данных в медицинских учреждениях должна осуществляться с соблюдением необходимых мер, обеспечивающих конфиденциальность информации и её защиту от несанкционированного доступа.

Организация защиты конфиденциальной информации. Напомним, что защита информации — это целый комплекс организационно-технических мероприятий, направленных на предотвращение несанкционированного доступа к данным и документам, их потери и искажения. Организация и поддержание системы информационной безопасности (ИБ) требуют значительных ресурсов. Например, в финансово-кредитных организациях расходы на защиту информации составляют около 20% от совокупных расходов на ИТ.

Работы по организации системы ИБ, включая защиту ПД, должны быть неотъемлемой частью проекта по созданию или модернизации ИС (п. 4 Положения), и их следует выделить в отдельный этап или контракт. В общем случае они включают три фазы:

1. предпроектную фазу — обследование и определение класса ИС, предварительное определение способов и состава средств защиты информации (СЗИ);

2. проектную фазу — разработку технического задания на создание комплексной системы защиты информации, в том числе построение модели угроз безопасности конфиденциальной информации, техническое и рабочее проектирование системы;

3. ввод в эксплуатацию — закупку сертифицированных СЗИ, их инсталляцию, обучение персонала, издание организационно-распорядительных документов о допуске персонала и регламентах обработки конфиденциальной информации, назначение ответственных, организацию контроля, аудита и т. п., а также аттестацию системы на соответствие требованиям безопасности обработки конфиденциальной информации.

Классификация ИС, в которых обрабатываются персональные данные, должна отвечать требованиям документа «Порядок проведения классификации информационных систем персональных данных», утвержденного совместным приказом ФСТЭК, ФСБ и Мининформсвязи России №55/86/20от 13.02.2008. В этом документе (далее — Порядок) указано, что:

●  классификация проводится на основе таких критериев, как категория обрабатываемых данных (сведения о состоянии здоровья относятся к наивысшей, первой категории — см. п. 6 Порядка), их объём, характеристики безопасности, структура ИС, наличие подключения к Интернету, режим обработки ПД, режим разграничения прав доступа, местонахождение технических средств;

●  присвоение класса ИС осуществляется самим оператором ПД (медицинским учреждением), класс должен быть оформлен документально; заметим, что в соответствии с п. 8 Порядка медицинские ИС относятся к специальным системам, поскольку в них обрабатываются данные о состоянии здоровья пациентов. Как указано в п. 16 Порядка, класс специальных ИС определяется на основе анализа данных и модели угроз безопасности ПД в соответствии с методическими документами ФСТЭК и ФСБ. К таким документам сегодня относятся следующие.

1. «Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (утвержден ФСТЭК 14.02.2008, имеет гриф «Для служебного пользования» — ДСП; документы с грифом ДСП могут быть получены в органах ФСТЭК по официальному запросу).

2. «Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных» (утверждён ФСТЭК 15.02.2008, ДСП).

3. «Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных» (утверждён ФСТЭК 15.02.2008, ДСП).

4. «Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (утверждён ФСТЭК 15.02.2008, ДСП).

5. «Специальные требования и рекомендации по технической защите конфиденциальной информации» (утвержден Гостехкомиссией России 30.08.2002).

6. «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (утверждён Гостехкомиссией России 30.03.1992).

7. «Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных» (утверждён руководством 8 Центра ФСБ России 21.02.2008, №149/6/6-622).

8. «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации» (утверждён руководством 8 Центра ФСБ России 21.02.2008, №149/54-144).

В соответствии с перечисленными документами ИС организаций здравоохранения, в которых обрабатываются персональные данные о состоянии здоровья пациентов, необходимо отнести к следующим классам: 

●  класс 1Г (максимальный гриф обрабатываемой информации — «конфиденциально») — согласно руководящему документу, указанному в приведенном выше перечне под номером 6; 

●  класс К1 (все ИС, в которых обрабатывается информация первой категорииотносятся к 1-му классу (К1) — согласно документу под номером 4 в перечне; как уже отмечал в своей статье А. Щербаков, для защиты ПД в системах этого класса должны использоваться криптографические средства.

В соответствии с перечисленными выше документами организации, эксплуатирующие информационные системы классов 1Г и К1, обязаны:

а)  получить лицензию ФСТЭК на техническую защиту информации (срок действия — пять лет);

б)  выполнить все необходимые мероприятия по обеспечению защиты информации для указанных классов информационных систем;

в)  провести аттестационные испытания ИС по требованиям ФСТЭК.

Кроме того, при использовании в учреждении средств криптографической защиты информации может потребоваться получение лицензии ФСБ (см. указ. статью). Заметим, что во всех случаях установка в ИС ПД сертифицированных средств криптографической защиты информации должна осуществляться организацией, имеющей соответствующую лицензию ФСБ.

Аттестация ИС проводится с привлечением внешней организации-аудитора, имеющей соответствующий аттестат аккредитации ФСТЭК. Если проверка показала, что система защиты ПД данной ИС соответствует установленным требованиям, то выдается аттестат соответствия (сроком на три года). С порядком получения лицензии на техническую защиту информации, проведения аттестации ИС и перечнем организаций, уполномоченных проводить аттестационные испытания, можно ознакомится на сайте ФСТЭК (www.fstec.ru).

При организации рабочих процессов в учреждении необходимо стремиться к максимально возможному сокращению перечня сотрудников, имеющих доступ к ПД пациентов. Руководитель учреждения должен утвердить перечень должностных лиц, допущенных к обработке персональных данных в информационной системе. Порядок их доступа к конфиденциальным сведениям и ПД, хранящимся в базах данных ИС, должен определяться соответствующими регламентами и должностными инструкциями.

В заключение хотелось бы отметить, что описанные выше положения и рекомендации далеко не исчерпывают всех аспектов проблемы организации обработки персональных данных в здравоохранении. Не рассмотрены, например, вопросы, связанные с процедурой получения согласия пациента на обработку ПД теми операторами, к которым он непосредственно не обращается за медицинской помощью. К ним, в частности, относятся учреждения, которые формируют и ведут различного рода сводные медицинские персонифицированные (территориально-популяционные) регистры, — МИАЦ, территориальные фонды ОМС и др. Более обстоятельного рассмотрения требуют также вопросы ИТ-аутсорсинга при обработке и организации защиты конфиденциальной информации, получения медицинским учреждением необходимых лицензий и др. Очевидно, что организацией системы информационной безопасности должны заниматься компетентные специалисты, имеющие специальную профессиональную подготовку. Приказом Минздравсоцразвития России №247н от 29.05.2008 в перечень профессиональных квалификационных групп включены должности специалистов (техники, инженеры и т. д.) по защите информации. К сожалению, в настоящее время в штатных расписаниях учреждений здравоохранения сотрудники по информационной безопасности за очень редкими исключениями не предусмотрены. Так же как и в бюджетах большинства медицинских учреждений не предусмотрены расходы на организацию системы защиты информации. А между тем до 1 января 2010 г. — срока, к которому по закону «О персональных данных» все информационные системы должны быть приведены в соответствие с его требованиями, осталось очень мало времени. Необходимы срочные безотлагательные меры, в том числе и со стороны Минздравсоцразвития России.1

Образец письменного согласия пациента на обработку его персональных данных

СОГЛАСИЕ
на обработку персональных данных

Я, нижеподписавшийся <Ф.И.О. полностью>, проживающий по адресу <по месту регистрации>, паспорт <серия и номер>, выдан <дата и название выдавшего органа>, в соответствии с требованиями статьи 9 федерального закона от 27.07.06 г. «О персональных данных» №152-ФЗ, подтверждаю свое согласие на обработку <название и адрес медицинского учреждения> (далее — Оператор) моих персональных данных, включающих: фамилию, имя, отчество, пол, дату рождения, адрес места жительства, контактный(е) телефон(ы), реквизиты полиса ОМС (ДМС), страховой номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС), данные о состоянии моего здоровья, заболеваниях, случаях обращения за медицинской помощью — в медико-профилактических целях, в целях установления медицинского диагноза и оказания медицинских услуг при условии, что их обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну. В процессе оказания Оператором мне медицинской помощи я предоставляю право медицинским работникам передавать мои персональные данные, содержащие сведения, составляющие врачебную тайну, другим должностным лицам Оператора, в интересах моего обследования и лечения.

Предоставляю Оператору право осуществлять все действия (операции) с моими персональными данными, включая сбор, систематизацию, накопление, хранение, обновление, изменение, использование, обезличивание, блокирование, уничтожение. Оператор вправе обрабатывать мои персональные данные посредством внесения их в электронную базу данных, включения в списки (реестры) и отчетные формы, предусмотренные документами, регламентирующими предоставление отчетных данных (документов) по ОМС (договором ДМС).

Оператор имеет право во исполнение своих обязательств по работе в системе ОМС (по договору ДМС) на обмен (прием и передачу) моими персональными данными со страховой медицинской организацией <название> и территориальным фондом ОМС с использованием машинных носителей или по каналам связи с соблюдением мер, обеспечивающих их защиту от несанкционированного доступа, при условии, что их прием и обработка будут осуществляется лицом, обязанным сохранять профессиональную тайну.

Срок хранения моих персональных данных соответствует сроку хранения первичных медицинских документов (медицинской карты) и составляет <двадцать пять лет>.

Передача моих персональных данных иным лицам или иное их разглашение может осуществляться только с моего письменного согласия.

Настоящее согласие дано мной <дата> и действует бессрочно.

Я оставляю за собой право отозвать свое согласие посредством составления соответствующего письменного документа, который может быть направлен мной в адрес Оператора по почте заказным письмом с уведомлением о вручении либо вручен лично под расписку представителю Оператора.

В случае получения моего письменного заявления об отзыве настоящего согласия на обработку персональных данных Оператор обязан прекратить их обработку в течение периода времени, необходимого для завершения взаиморасчетов по оплате оказанной мне до этого медицинской помощи.

Контактный(е) телефон(ы) <...> и почтовый адрес <...>

Подпись субъекта персональных данных __________

 

        1. В перечне поручений Президента РФ по итогам заседания президиума Госсовета РФ 17.07.08 г. (утвержден 01.08.08 г. № Пр-1572ГС) правительству дано поручение в срок до 1 декабря 2008 г. «утвердить комплекс мер по созданию государственной информационной системы персонифицированного учета оказания медицинской помощи, предусмотрев разработку необходимых нормативных правовых актов, а также подключение государственных и муниципальных медицинских учреждений к сети Интернет» (п. 1 «з»).

Источник: PCWeek, 6 октября 2009

Чтобы прочитать эту статью до конца,
или зарегистрируйтесь

Комментарии 1

Главврач, прочитав такое, схватился бы за голову и за сердце, произнося много эмоциональных выражений: надо изучить документы (в том числе закрытые грифом ДСП !), закупить средства защиты информации, получить лицензию на техническую защиту из ФСТЭК и лицензию на средства криптозащиты от ФСБ и т.д. и т.п. (вариант выполнения работ сторонней организацией, уже имеющей лицензии, при котором организации получать лицензии не потребуется, почему-то вообще не рассматривается).

Можем, кстати, обнаружить и еще 1 мнение того же автора о том, что "руководители ЛПУ в ужасе", "выполнение некоторых положений федерального закона, например сбор бумаг, подтверждающих письменное согласие пациентов при выписке каждого рецепта, способно парализовать всю работу", о том, что "сделать это до января нереально".

Может статья направлена на то, чтобы повысить объем реализации успокоительных средств и холодного пива, потребляемого после ночных кошмаров в связи с испугом? Или на стимуляцию бизнеса по защите информации? На мой взгляд, действовать надо иначе.

Управленец, к каковым относится главврач, должен делать главное - не спать и не ждать! Надо действовать с учетом своих полномочий и возможностей, принимая разумно возможные меры самому и не пытаясь прыгнуть выше потолка, трясти вышестоящие инстанции, доводя до них реальное положение дел. И требовать принятия мер на более высоком уровне уже в соотв. с их полномочиями. Быть активным и инициативным. О чем, собственно, и сказано, пусть и не столь явно, в "Руководитель, новое время ..."

Т.о. меры по защите ПД будут приняты, невозможность соблюдения текущих требований - обоснована, вышестоящие инстанции - оповещены и Роскомнадзор, зашедший к вам "на огонек" с проверкой, увидит разумную активность в пределах возможностей :-).

Невозможно да и бессмысленно, вероятно, кидаться соблюдать все требования закона, т.к. роскомнадзор "считает необходимым внести изменения перечень информации и методологию защиты для снижения финансовых издержек". Т.к. никто излишне и преждевременно потраченных денег вам при этом не вернет, а претензии к ФСТЭК, разработавшему именно такие документы и инициировавшему супериздержки, предъявить не удастся.

Чтобы прокомментировать, или зарегистрируйтесь