Приказ о защите персональных данных в здравоохранении

Рубрики Статьи

Приказ о защите персональных данных в здравоохранении

При обработке ПДн пациентов медицинских учреждений следует учитывать, что Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных» относит данные о состоянии здоровья пациента к специальной категории ПДн, обработка которых разрешается только при наличии письменного согласия субъекта ПДн или в исключительных случаях, предусмотренных статьей 10 данного закона (например, когда обработка ПДн необходима для защиты жизни или здоровья субъекта, либо жизни и здоровья других лиц, и получение согласия субъекта невозможно или когда обработка ПДн осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка ПДн осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну).

Характерной особенностью организации обработки ПДн в ЛПУ является то обстоятельство, что «Основы законодательства РФ об охране здоровья граждан» (ст.31) требуют предусмотреть в ИСПДн возможность предоставления пациенту в доступной для него форме информации о состоянии здоровья, включая сведения о результатах обследования, наличии заболевания, его диагнозе и прогнозе, методах лечения, связанном с ним риске, возможных вариантах медицинского вмешательства, их последствия и результатах проведенного лечения. Это требование вполне соотносится с положениями ст.143 Федерального закона «О персональных данных», определяющей право субъекта на доступ к своим ПДн. Так же следует обеспечить возможность информирования пациентов о способах и сроках обработки и хранения ПДн, а также лицах, имеющих к ним доступ.

Для обеспечения безопасности ПДн пациентов медицинских учреждений необходимы не только технические, но и организационные меры защиты. Особенность обработки ПДн заключается так же в том, что передача сведений, составляющих врачебную тайну, разрешена только с согласия пациента, за исключением случаев, предусмотренных ст. 61 «Основ законодательства РФ об охране здоровья граждан» (аналогичное требование ст. 6 Федерального закона «О персональных данных»).

Технические аспекты защиты информации

Техническая составляющая системы защиты персональных данных в медицинских учреждениях создается в соответствии с требованиями руководящих и методических документов регуляторов. В большинстве случаев состав угроз информационной безопасности требует применения более широкого класса механизмов безопасности, нежели это предусмотрено руководящими и методическими документами (поскольку часто, помимо собственно ПДн, предусматривается защита иных категорий конфиденциальной информации). В таких случаях осуществляется разработка системы защиты ПДн в составе более масштабной комплексной системы обеспечения информационной безопасности, реализующей дополнительные требования по обеспечению защиты информации. Объединение в одном проекте системы защиты персональных данных и комплексной системы обеспечения информационной безопасности позволяет более рационально осуществлять инвестиции в защиту информации.

Политика обработки персональных данных

1. Министерство здравоохранения Краснодарского края осуществляет обработку персональных данных на законной и справедливой основе.

2. Объём, содержание и сроки обработки персональных данных определяются целями обработки персональных данных.

3. Министерство здравоохранения Краснодарского края оставляет за собой право проверить полноту и точность предоставленных персональных данных. В случае выявления ошибочных или неполных персональных данных, министерство здравоохранения Краснодарского края имеет право прекратить все отношения с субъектом персональных данных.

4. Министерство здравоохранения Краснодарского края не передаёт персональные данные субъектов персональных данных третьим лицам без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.

5. Министерство здравоохранения Краснодарского края соблюдает конфиденциальность персональных данных, принимает правовые, организационные и технические меры по защите персональных данных, а так же требует принятия указанных мер от своих контрагентов.

6. Приказом министерства здравоохранения Краснодарского края назначен ответственный за организацию обработки персональных данных в министерстве здравоохранения Краснодарского края — начальник отдела организационно-методического работы Т.Н. Беспалова.

7. В министерстве здравоохранения Краснодарского края утверждены следующие локальные нормативные акты:

— приказ об информационной безопасности министерства здравоохранения Краснодарского края;

— приказ о назначении ответственных за обработку и защиту персональных данных министерства здравоохранения Краснодарского края;

— приказ об утверждении мест хранения материальных носителей персональных данных министерства здравоохранения Краснодарского края;

— перечень информационных систем персональных данных министерства здравоохранения Краснодарского края;

— перечень должностей служащих, замещение которых предусматривает осуществление обработки персональных данных либо осуществление доступа к персональным данным;

— перечень должностных служащих, ответственных за проведение мероприятий по обезличиванию обрабатываемых персональных данных в министерстве здравоохранения Краснодарского края;

— перечень персональных данных, обрабатываемых в связи с реализацией трудовых отношений;

— перечень персональных данных, обрабатываемых в связи с окончанием государственных или муниципальных услуг и осуществлением государственных или муниципальных функций;

— правила работы с обезличенными данными министерства здравоохранения Краснодарского края;

— правила обработки персональных данных в министерстве здравоохранения Краснодарского края;

— порядок доступа служащих в помещения, в которых ведется обработка персональных данных;

— правила осуществления внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных в министерстве здравоохранения Краснодарского края.

8. При эксплуатации информационных систем персональных данных министерство здравоохранения Краснодарского края принимает правовые, организационные и технические меры по обеспечению безопасности персональных данных для выполнения установленных Правительством Российской Федерации требований к защите персональных данных при их обработке в соответствии с установленными уровнями защищенности персональных данных.

9. При обработке персональных данных, осуществляемой без использования средств автоматизации, министерство здравоохранения Краснодарского края выполняет требования, установленные постановлением Правительства Российской Федерации от 15 сентября 2008 года № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации».

10. Министерство здравоохранения Краснодарского края осуществляют ознакомление своих сотрудников, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных (в том числе с требованиями к защите персональных данных), локальными актами по вопросам обработки персональных данных и, при необходимости, организует обучение указанных сотрудников.

11. Министерство здравоохранения Краснодарского края уведомляет уполномоченный орган по защите прав субъектов персональных данных об обработке персональных данных в соответствии с требованиями, установленными Федеральным законом Российской Федерации от 27 июля 2006 года № 152-ФЗ «О персональных данных».

Начальник отдела организационно-методической работы Т.Н. Беспалова

Министерство здравоохранения Ставропольского края

Защита персональных данных

Планы проверок контролирующими организациями

Федеральный закон Российской Федерации от 27 июля 2006 г. N 152-ФЗ «О персональных данных»

Приказ ФСБ РФ от 10 июля 2014 г. № 378

Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности

О защите персональных данных

Правовые основы, общий перечень мероприятий по защите персональных данных и ответственность за несоблюдение требований закона № 152-ФЗ «О персональных данных».

Методический документ «Меры защиты информации в государственных информационных системах», утвержденный ФСТЭК России 11 февраля 2014 года

Приказ ФСТЭК России от 18 февраля 2013 г. № 21

Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных

Приказ ФСТЭК России от 11 февраля 2013 г. № 17

Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах

Разъяснения Роскомнадзора по вопросам получения согласия на обработку персональных данных от 25 октября 2012 года

Постановление правительства РФ от 1 ноября 2012 г. № 1119

Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных

Постановление правительства РФ от 21 марта 2012 г. № 211

Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных федеральным законом «о персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами

Информационное письмо ФСТЭК от 30.05.2012 г. № 240/22/2222

по вопросу необходимости получения лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации

Письмо профессионального союза работников здравоохранения

О контроле представителями выборных профсоюзных органов за соблюдением норм законодательства.
Приложение: Письмо Роскомнадзора от 27 июня 2011 № ШР-13444
(касается обработки персональных данных сотрудников)

Письмо министерства здравоохранения Ставропольского края от 24.11.2010 № 01-13/8228

О результатах рассмотрения аналитической записки региональной общественной организации «Ассоциация медицинских работников Ставрополья» от 01.11.2010г. № 24

Информационное письмо министерства здравоохранения и социального развития Российской Федерации от 10.11.2010 №29-5/2165

Ответ на информационное письмо министерства здравоохранения Ставропольского края от 08.09.2010 №01-13/6367 «О необходимости получения лицензии на деятельность по технической защите конфиденциальной информации»

Письмо региональной общественной организации «Ассоциация медицинских работников Ставрополья» от 01.11.2010 г.

О выполнении требований № 152-ФЗ «О персональных данных»

Письмо министерства здравоохранения Ставропольского края от 08.09.2010 № 01-13/6367

О необходимости получения лицензии на деятельность по технической защите конфиденциальной информации

Информационное письмо министерства здравоохранения и социального развития Российской Федерации от 30.08.2010 №29-5/10/2-7657

О необходимости уведомления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций об обработке персональных данных

Читайте так же:  Ходатайство в суд образец рб

Приказ ФСБ России и ФСТЭК России от 3 августа 2010 г. № 416/489

Требованиями о защите информации, содержащейся в информационных системах общего пользования

Информационное письмо ФСТЭК от 18.07.2010 № 240/2-2520

О необходимости получения лицензии на техническую защиту конфиденциальной информации

Приложения к методическим рекомендациям для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости

Методические рекомендации для организации защиты информации при обработке персональных данных в учреждениях здравоохранения, социальной сферы, труда и занятости

Методические рекомендации по составлению Частной модели угроз безопасности персональных данных при их обработке в информационных системах персональных данных учреждений здравоохранения, социальной сферы, труда и занятости

Приказ ФСБ РФ от 9 февраля 2005 г. № 66

Об утверждении положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (положение пкз-2005)

Приказ ФАПСИ от 13 июня 2001 г. № 152

Об утверждении инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну

Обработка персональных данных в медицинских организациях

Одной из наиболее актуальных проблем, которые сегодня приходится решать в медицинском учреждении при использовании компьютеров, является защита конфиденциальной информации. В связи с этим представляется целесообразным продолжить рассмотрение основных аспектов организации автоматизированной обработки персональных данных (ПД) пациентов, которое было начато в статье профессора А. Щербакова.

Основными правовыми нормативными актами, регламентирующими требования к процессам обработки ПД, в том числе в учреждениях здравоохранения, являются:

Конституция Российской Федерации, принятая 12.12.1993; ст. 23, 24 (неприкосновенность частной жизни, личная и семейная тайна), ст. 41, 42 (недопустимость сокрытия информации, связанной с угрозой жизни и здоровью);

“Основы законодательства Российской Федерации об охране здоровья граждан”, . закон РФ № 5487-1 от 22.07.1993 (далее — Основы); в ст. 61 дано определение врачебной тайны как “информации о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иных сведений, полученных при его обследовании и лечении”;

федеральный закон “Об информации, информационных технологиях и защите информации” № 149-ФЗ от 27.07.2006, в котором даны определения таких понятий, как информация, документирование информации, защита информации, обладатель информации, конфиденциальность информации, предоставление и распространение информации, электронное сообщение;

  • федеральный закон “О персональных данных” № 152-ФЗ от 27.07.2006 (далее — Закон), которым регулируются отношения, связанные с обработкой персональных данных с использованием средств автоматизации;
  • указ Президента РФ “Об утверждении перечня сведений конфиденциального характера” № 188 от 06.03.1997 (в редакции указа Президента РФ от 23.09.2005 № 1111) в котором к указанной категории сведений отнесены персональные данные и сведения, содержащие врачебную тайну;
  • указ Президента РФ № 351 от 17.03.2008 “О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена”;
  • постановление Правительства РФ № 504 от 15.08.2006 “О лицензировании деятельности по технической защите информации”;
  • постановление Правительства РФ № 957 от 29.12.2007 “Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами”;
  • постановление Правительства РФ № 781 от 17.11.2007 “Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных” (далее — Положение), в котором определены основные требования к указанным информационным системам (ИС);
  • постановление Правительства РФ № 512 от 06.07.2008 “Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных”;
  • постановление Правительства РФ № 687 от 15.09.2008 “Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации”;
  • совместный приказ ФСТЭК России, ФСБ России, Мининформсвязи России № 55/86/20 от 13.02.2008 “Об утверждении Порядка проведения классификации информационных систем персональных данных”.

Напомним, что к персональным данным относятся: а) сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (см. Указ Президента РФ № 188 от 06.03.1997); б) любая информация, относящаяся к определённому или определяемому на основании такой информации физическому лицу (субъекту персональных данных; ст. 3 Закона). Конфиденциальной считается документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и которая не подлежит передаче третьим лицам без согласия её обладателя. Обладателем информации, содержащей врачебную тайну, является пациент (субъект ПД) или его законный представитель — должно быть получено согласие пациента на передачу касающихся его сведений, содержащих врачебную тайну, кому-либо, в том числе должностным лицам в интересах его обследования и лечения (ст. 61 Основ). Под обработкой ПД понимаются любые действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение (ст. 3 Закона). Любое юридическое или физическое лицо, организующее и/или осуществляющее обработку ПД, а также определяющее цели и содержание их обработки, является оператором ПД (ст. 3 Закона).

В общем случае оператор ПД — учреждение здравоохранения, фонд обязательного медицинского страхования (ОМС), страховая медицинская организация — должен:

  1. зарегистрироваться в качестве оператора ПД — подготовить и направить уведомление в территориальный орган Федеральной службы по надзору в сфере связи и массовых коммуникаций (Россвязькомнадзор), которая постановлением Правительства РФ № 419 от 02.06.2008 определена в качестве уполномоченного органа по защите прав субъектов персональных данных (ст. 22, 23 Закона);
  2. получить письменные согласия пациентов (субъектов ПД) на обработку, в том числе передачу их персональных данных (ст. 6, 9 и 10 Закона); необходимость согласия пациента на передачу кому-либо сведений о нём, содержащих врачебную тайну, предусмотрена также ст. 61 Основ (см. выше); далее понятия “пациент”, “физическое лицо” и “субъект ПД” будем считать синонимами;
  3. обеспечить информирование пациентов по их запросам о целях, способах и сроках обработки, хранения их ПД, а также о лицах, имеющих к ним доступ (часть 4 ст. 14 Закона); для этого в информационной системе учреждения должны быть реализованы функции разграничения полномочий, аутентификации, регистрации (учёта) и контроля доступа пользователей к ПД, автоматического ведения журналов доступа (п. 15 Положения);
  4. для определения необходимых мер и выбора средств защиты ПД провести классификацию своей ИС в зависимости от характера (состава) и объема обрабатываемых ПД и угроз безопасности жизненно важным интересам личности в случае нарушения их конфиденциальности (утечки) и оформить соответствующий документ (п. 6 Положения); следует заметить, что все ИС ПД, в которых обрабатываются сведения о состоянии здоровья, в соответствии с требованиями приказа ФСТЭК, ФСБ и Миниформсвязи России № 55 / 86 / 20 от 13.02.2008 являются системами 1-го класса (К1, см. далее);
  5. организовать и поддерживать систему защиты конфиденциальной информации от несанкционированного доступа в соответствии с установленным классом ИС с использованием средств защиты, сертифицированных в установленном порядке; для подтверждения соответствия ИС требованиям защиты конфиденциальной информации и ПД необходимо провести аттестацию системы (см. ниже).

Регистрация в качестве оператора персональных данных. Порядок регистрации определён приказом Россвязькомнадзора № 8 от 17.07.2008 “Об утверждении образца формы уведомления об обработке персональных данных” (с изменениями, внесенными приказом № 42 от 18.02.2009) . Дадим ряд рекомендаций по заполнению некоторых позиций уведомления применительно к медицинским организациям.

1. В позиции формы уведомления “Цель обработки” следует указать: “в медико-профилактических целях”, либо “в целях установления медицинского диагноза”, либо “в целях оказания медицинских и медико-социальных услуг” (пп. 3, 4 части 2 ст. 10 Закона), — а также перечислить цели деятельности организации так, как это указано в учредительных документах (положении, уставе).

2. В позиции “Категории персональных данных” — а) для пациентов: Ф.И.О., пол, дата рождения, адрес места жительства, реквизиты документа, удостоверяющего личность, реквизиты полиса медицинского страхования, сведения о наличии льгот, СНИЛС (страховой номер индивидуального лицевого счета гражданина в системе персонифицированного учета Пенсионного фонда России) , сведения о случаях обращения за медицинской помощью, данные о состоянии здоровья; б) для работников организации (учреждения): Ф.И.О., пол, дата и место рождения, адрес места жительства, реквизиты документа, удостоверяющего личность, реквизиты полиса медицинского страхования, СНИЛС, ИНН, сведения о наличии льгот, данные кадрового учёта (образование, квалификация, должность и т. д.), сведения о заработной плате.

3. В позиции “Категории субъектов персональных данных” надо указать: “работники учреждения”, для пациентов — гражданство (“гражданин РФ”, “иностранный гражданин”, “лицо без гражданства”).

4. В позиции “Правовое основание обработки . ” указать информацию в соответствии с пунктами 3, 4 части 2 статьи 10 Закона , ссылки на нормативные документы территориального органа управления здравоохранением и фонда ОМС, реквизиты лицензии на медицинскую деятельность. Следует заметить, что в Основах отсутствуют в явном виде какие-либо нормы и требования, связанные с ведением медицинской документации и обработкой ПД пациента как без использования, так и с использованием средств автоматизации (компьютеров). Поэтому ссылки на этот закон в данном случае не приведены. Надо также указать, что обработка ПД работников учреждения осуществляется на основании ст. 85—90 Трудового кодекса РФ.

Читайте так же:  Систем требования фоллаут 4

5. В позиции “Перечень действий с персональными данными. ” указать: “Смешанная обработка — ввод, сбор, систематизация, накопление, хранение, изменение, удаление, использование, передача по внутренней сети”. Если в медицинском учреждении формируются массивы персонифицированных данных для передачи во внешние организации (страховые медицинские организации, фонд ОМС, медицинский информационно-аналитический центр (МИАЦ) и т. п.), то необходимо указать, каким образом они передаются — на машинных носителях, по защищенным каналам связи и т. п. В этом случае в позиции “Правовое основание обработки. ” в дополнение к перечисленным выше документам следует также привести реквизиты нормативных распорядительных документов (приказов и т. п.), на основании которых эти данные передаются.

Надо обратить внимание, что согласно приказу Россвязькомнадзора № 42 от 18.02.2009 оператор в уведомлении должен указать класс информационной системы, обрабатывающей ПД, который присвоен ей в соответствии с требованиями приказа ФСТЭК России, ФСБ России, Мининформсвязи России № 55/86/20 от 13.02.2008.

Напомним, что в случае изменения сведений, указанных в уведомлении, оператор обязан в течение десяти рабочих дней сообщить об этом в уполномоченный орган по защите прав субъектов ПД (часть 6 ст. 22 Закона).

Реестр операторов. Органы Россвязькомнадзора на основании уведомлений формируют и ведут единый реестр операторов ПД, осуществляющих обработку персональных данных. Расходы на рассмотрение уведомлений и ведение реестра осуществляются за счёт средств федерального бюджета. Порядок ведения реестра утвержден приказом Россвязьохранкультуры № 154 от 28.03.2008 “Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных”, в котором определены процедуры включения и исключения операторов в(из) реестр(а). Решение о включении оператора в реестр или об отказе принимается в течение тридцати дней с даты поступления уведомления. Орган по защите прав субъектов ПД вправе проверять указанные в уведомлении сведения на полноту и достоверность, а также запрашивать и получать на безвозмездной основе как у физических, так и у юридических лиц информацию, необходимую для осуществления своих полномочий. При включении в реестр каждому оператору присваивается регистрационный номер. Исключение оператора из реестра осуществляется в следующих случаях:

  • по письменному заявлению оператора об исключении из реестра с приложением обоснований;
  • по решению суда о прекращении оператором деятельности по обработке персональных данных;
  • в связи с принятием уполномоченным органом по защите прав субъектов ПД решения по приостановлению или прекращению оператором обработки ПД, осуществляемой с нарушением требований Закона.

Информация о включении или исключении оператора в(из) реестр(а) публикуется в трехдневный срок на официальном сайте уполномоченного органа по защите прав субъектов ПД (www.rsoc.ru). Сведения об операторах, включенных в реестр, являются общедоступными за исключением данных о мерах по защите информации. Доступ к реестру осуществляется через интернет-портал по адресу pd.rsoc.ru.

Добровольное письменное согласие пациента на обработку его персональных данных. К сожалению, в настоящее время процедуры и формы документального подтверждения согласия пациента на обработку и передачу его персональных данных, а также порядок его информирования о целях и способах обработки, о лицах, имеющих к ним доступ, на федеральном и ведомственном уровне пока еще не определены и не регламентированы. Поэтому дадим некоторые пояснения и рекомендации.

Образец согласия пациента, подготовленный в соответствии с требованиями статьи 9 Закона, применительно к медицинскому учреждению, работающему в системе ОМС, представлен во врезке (аналогичное согласие для ребёнка в возрасте до 15 лет дается его родителем или опекуном). В учреждении необходимо наладить учёт и хранение этих документов, предъявляемых в качестве доказательства легитимности обработки ПД пациентов (часть 3 ст. 9 Закона). В амбулаторных учреждениях письменное согласие целесообразно оформлять при первом обращении пациента и оформлении амбулаторной карты, в стационарах — при каждом случае госпитализации в виде вкладыша в историю болезни. Напомним, что в соответствии со ст. 61 Основ предоставление (то есть передача строго определённому кругу лиц) персонифицированных сведений о состоянии здоровья пациента без его согласия допускается в следующих случаях:

  • в целях его обследования и лечения, если он не способен из-за своего состояния выразить собственную волю;
  • при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
  • по запросу органов дознания, следствия и суда;
  • при оказании помощи несовершеннолетнему в возрасте до 15 лет для информирования его родителей или законных представителей;
  • если есть основания полагать, что вред здоровью причинен в результате противоправных действий;
  • в целях проведения военно-врачебной экспертизы.

Стоит обратить внимание, что в соответствии с постановлением Правительства РФ № 687 от 15.09.2008 персональные данные, обрабатываемые на бумажных носителях, должны обособляться от иной информации — путём их представления на отдельных листах, в специальных разделах или в полях форм (бланков) документов (п. 4 этого постановления). Кроме того, в типовых формах документов должно быть предусмотрено поле, в котором субъект ПД может поставить отметку о своем согласии на обработку его ПД (подпункт “б” пункта 7). Из этого, в частности, следует, что подавляющее большинство персонифицированных форм учётно-отчётных документов, которые сейчас используются в здравоохранении, подлежит переработке.

Еще одно замечание, не имеющее прямого отношения к теме этой статьи, касается согласия медицинского работника на передачу его персональных данных. В соответствии со статьей 88 Трудового кодекса РФ медицинское учреждение при передаче ПД сотрудника, например, в органы Росздравнадзора для ведения федерального регистра медицинских работников (см. приказ Минздравсоцразвития России № 14н от 17.01.2008) обязано получить его письменное на то согласие. Целесообразно включить это согласие в трудовой договор с работником. На сайте www.54.rsoc.ru опубликованы образцы некоторых документов, необходимых для организации работы с персональными данными в учреждении, в частности положение о защите ПД работников, обязательство работника о неразглашении конфиденциальной информации (ПД) и др.

Обработка персональных данных в медицинских учреждениях должна осуществляться с соблюдением необходимых мер, обеспечивающих конфиденциальность информации и её защиту от несанкционированного доступа.

Организация защиты конфиденциальной информации. Напомним, что защита информации — это целый комплекс организационно-технических мероприятий, направленных на предотвращение несанкционированного доступа к данным и документам, их потери и искажения. Организация и поддержание системы информационной безопасности (ИБ) требуют значительных ресурсов. Например, в финансово-кредитных организациях расходы на защиту информации составляют около 20% от совокупных расходов на ИТ.

Работы по организации системы ИБ, включая защиту ПД, должны быть неотъемлемой частью проекта по созданию или модернизации ИС (п. 4 Положения), и их следует выделить в отдельный этап или контракт. В общем случае они включают три фазы:

  1. предпроектную фазу — обследование и определение класса ИС, предварительное определение способов и состава средств защиты информации (СЗИ);
  2. проектную фазу — разработку технического задания на создание комплексной системы защиты информации, в том числе построение модели угроз безопасности конфиденциальной информации, техническое и рабочее проектирование системы;
  3. ввод в эксплуатацию — закупку сертифицированных СЗИ, их инсталляцию, обучение персонала, издание организационно-распорядительных документов о допуске персонала и регламентах обработки конфиденциальной информации, назначение ответственных, организацию контроля, аудита и т. п., а также аттестацию системы на соответствие требованиям безопасности обработки конфиденциальной информации.

Классификация ИС, в которых обрабатываются персональные данные, должна отвечать требованиям документа “Порядок проведения классификации информационных систем персональных данных”, утвержденного совместным приказом ФСТЭК, ФСБ и Мининформсвязи России № 55/86/20от 13.02.2008. В этом документе (далее — Порядок) указано, что:

  • классификация проводится на основе таких критериев, как категория обрабатываемых данных (сведения о состоянии здоровья относятся к наивысшей, первой категории — см. п. 6 Порядка), их объём, характеристики безопасности, структура ИС, наличие подключения к Интернету, режим обработки ПД, режим разграничения прав доступа, местонахождение технических средств;
  • присвоение класса ИС осуществляется самим оператором ПД (медицинским учреждением), класс должен быть оформлен документально; заметим, что в соответствии с п. 8 Порядка медицинские ИС относятся к специальным системам, поскольку в них обрабатываются данные о состоянии здоровья пациентов. Как указано в п. 16 Порядка, класс специальных ИС определяется на основе анализа данных и модели угроз безопасности ПД в соответствии с методическими документами ФСТЭК и ФСБ. К таким документам сегодня относятся следующие.
  1. “Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных” (утвержден ФСТЭК 14.02.2008, имеет гриф “Для служебного пользования” — ДСП; документы с грифом ДСП могут быть получены в органах ФСТЭК по официальному запросу).
  2. “Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных” (утверждён ФСТЭК 15.02.2008, ДСП).
  3. “Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных” (утверждён ФСТЭК 15.02.2008, ДСП).
  4. “Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных” (утверждён ФСТЭК 15.02.2008, ДСП).
  5. “Специальные требования и рекомендации по технической защите конфиденциальной информации” (утвержден Гостехкомиссией России 30.08.2002).
  6. “Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации” (утверждён Гостехкомиссией России 30.03.1992).
  7. “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных” (утверждён руководством 8 Центра ФСБ России 21.02.2008, № 149/6/6-622).
  8. “Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации” (утверждён руководством 8 Центра ФСБ России 21.02.2008, № 149/54-144).
Читайте так же:  Делается ли перерасчет пенсии если пенсионер работает

В соответствии с перечисленными документами ИС организаций здравоохранения, в которых обрабатываются персональные данные о состоянии здоровья пациентов, необходимо отнести к следующим классам:

  • класс 1Г (максимальный гриф обрабатываемой информации — “конфиденциально”) — согласно руководящему документу, указанному в приведенном выше перечне под номером 6;
  • класс К1 (все ИС, в которых обрабатывается информация первой категорииотносятся к 1-му классу (К1) — согласно документу под номером 4 в перечне; как уже отмечал в своей статье А. Щербаков, для защиты ПД в системах этого класса должны использоваться криптографические средства.

В соответствии с перечисленными выше документами организации, эксплуатирующие информационные системы классов 1Г и К1, обязаны:

а) получить лицензию ФСТЭК на техническую защиту информации (срок действия — пять лет);

б) выполнить все необходимые мероприятия по обеспечению защиты информации для указанных классов информационных систем;

в) провести аттестационные испытания ИС по требованиям ФСТЭК.

Кроме того, при использовании в учреждении средств криптографической защиты информации может потребоваться получение лицензии ФСБ (см. указ. статью). Заметим, что во всех случаях установка в ИС ПД сертифицированных средств криптографической защиты информации должна осуществляться организацией, имеющей соответствующую лицензию ФСБ.

Аттестация ИС проводится с привлечением внешней организации-аудитора, имеющей соответствующий аттестат аккредитации ФСТЭК. Если проверка показала, что система защиты ПД данной ИС соответствует установленным требованиям, то выдается аттестат соответствия (сроком на три года). С порядком получения лицензии на техническую защиту информации, проведения аттестации ИС и перечнем организаций, уполномоченных проводить аттестационные испытания, можно ознакомится на сайте ФСТЭК (www.fstec.ru).

При организации рабочих процессов в учреждении необходимо стремиться к максимально возможному сокращению перечня сотрудников, имеющих доступ к ПД пациентов. Руководитель учреждения должен утвердить перечень должностных лиц, допущенных к обработке персональных данных в информационной системе. Порядок их доступа к конфиденциальным сведениям и ПД, хранящимся в базах данных ИС, должен определяться соответствующими регламентами и должностными инструкциями.

В заключение хотелось бы отметить, что описанные выше положения и рекомендации далеко не исчерпывают всех аспектов проблемы организации обработки персональных данных в здравоохранении. Не рассмотрены, например, вопросы, связанные с процедурой получения согласия пациента на обработку ПД теми операторами, к которым он непосредственно не обращается за медицинской помощью. К ним, в частности, относятся учреждения, которые формируют и ведут различного рода сводные медицинские персонифицированные (территориально-популяционные) регистры, — МИАЦ, территориальные фонды ОМС и др. Более обстоятельного рассмотрения требуют также вопросы ИТ-аутсорсинга при обработке и организации защиты конфиденциальной информации, получения медицинским учреждением необходимых лицензий и др. Очевидно, что организацией системы информационной безопасности должны заниматься компетентные специалисты, имеющие специальную профессиональную подготовку. Приказом Минздравсоцразвития России № 247н от 29.05.2008 в перечень профессиональных квалификационных групп включены должности специалистов (техники, инженеры и т. д.) по защите информации. К сожалению, в настоящее время в штатных расписаниях учреждений здравоохранения сотрудники по информационной безопасности за очень редкими исключениями не предусмотрены. Так же как и в бюджетах большинства медицинских учреждений не предусмотрены расходы на организацию системы защиты информации. А между тем до 1 января 2010 г. — срока, к которому по закону “О персональных данных” все информационные системы должны быть приведены в соответствие с его требованиями, осталось очень мало времени. Необходимы срочные безотлагательные меры, в том числе и со стороны Минздравсоцразвития России. 2

Образец письменного согласия пациента на обработку его персональных данных

на обработку персональных данных

Я, нижеподписавшийся , проживающий по адресу , паспорт , выдан , в соответствии с требованиями статьи 9 федерального закона от 27.07.06 г. “О персональных данных” № 152-ФЗ, подтверждаю свое согласие на обработку (далее — Оператор) моих персональных данных, включающих: фамилию, имя, отчество, пол, дату рождения, адрес места жительства, контактный(е) телефон(ы), реквизиты полиса ОМС (ДМС), страховой номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС), данные о состоянии моего здоровья, заболеваниях, случаях обращения за медицинской помощью — в медико-профилактических целях, в целях установления медицинского диагноза и оказания медицинских услуг при условии, что их обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну. В процессе оказания Оператором мне медицинской помощи я предоставляю право медицинским работникам передавать мои персональные данные, содержащие сведения, составляющие врачебную тайну, другим должностным лицам Оператора, в интересах моего обследования и лечения.

Предоставляю Оператору право осуществлять все действия (операции) с моими персональными данными, включая сбор, систематизацию, накопление, хранение, обновление, изменение, использование, обезличивание, блокирование, уничтожение. Оператор вправе обрабатывать мои персональные данные посредством внесения их в электронную базу данных, включения в списки (реестры) и отчетные формы, предусмотренные документами, регламентирующими предоставление отчетных данных (документов) по ОМС (договором ДМС).

Оператор имеет право во исполнение своих обязательств по работе в системе ОМС (по договору ДМС) на обмен (прием и передачу) моими персональными данными со страховой медицинской организацией и территориальным фондом ОМС с использованием машинных носителей или по каналам связи с соблюдением мер, обеспечивающих их защиту от несанкционированного доступа, при условии, что их прием и обработка будут осуществляется лицом, обязанным сохранять профессиональную тайну.

Срок хранения моих персональных данных соответствует сроку хранения первичных медицинских документов (медицинской карты) и составляет .

Передача моих персональных данных иным лицам или иное их разглашение может осуществляться только с моего письменного согласия.

Настоящее согласие дано мной и действует бессрочно.

Я оставляю за собой право отозвать свое согласие посредством составления соответствующего письменного документа, который может быть направлен мной в адрес Оператора по почте заказным письмом с уведомлением о вручении либо вручен лично под расписку представителю Оператора.

В случае получения моего письменного заявления об отзыве настоящего согласия на обработку персональных данных Оператор обязан прекратить их обработку в течение периода времени, необходимого для завершения взаиморасчетов по оплате оказанной мне до этого медицинской помощи.

Контактный(е) телефон(ы) и почтовый адрес

Подпись субъекта персональных данных __________

Об авторе: Андрей Павлович Столбов — докт. техн. наук, заместитель директора Медицинского информационно-аналитического центра РАМН, профессор кафедры организации здравоохранения с курсом медицинской статистики и информатики факультета управления здравоохранением Московской медицинской академии им. И. М. Сеченова (stolbov@mcramn.ru).

1 Ранее, до изменения структуры федеральных органов исполнительной власти, уполномоченным органом по защите прав субъектов ПД являлась Россвязьохранкультуры. При этом форма уведомления в течение года трижды изменялась её приказами от 11.01.08 г. № 3, от 28.03.08 г. № 153 и от 13.05.08 г. № 340.

2 В перечне поручений Президента РФ по итогам заседания президиума Госсовета РФ 17.07.08 г. (утвержден 01.08.08 г. № Пр-1572ГС) правительству дано поручение в срок до 1 декабря 2008 г. «утвердить комплекс мер по созданию государственной информационной системы персонифицированного учета оказания медицинской помощи, предусмотрев разработку необходимых нормативных правовых актов, а также подключение государственных и муниципальных медицинских учреждений к сети Интернет» (п. 1 «з»).