Персональные данные пациентов в медицинских организациях: требования к обработке и ответственность

Что такое персональные данные

Это данные о конкретном человеке, которые характеризуют его, индивидуализируют. Как правило, такая информация включает в себя следующее:

  • ФИО;
  • Дата, место рождения;
  • Национальность;
  • Место жительство (фактическое или по прописке);
  • Паспортные данные;
  • Сведения о работодателе;
  • Образование, профессия;
  • Размер доходов, в том числе заработная плата;
  • Имеющееся имущества (движимое/недвижимое), в том числе банковские карты;
  • Родственные связи;
  • Физиологические данные (пол, рост, вес, цвет волос);
  • Наличие хронических болезней, физических аномалий;
  • Сведения о судимости, фактов привлечения к административной ответственности;
  • Отношение к религии;
  • Номер телефона и адрес в соцсетях;
  • Сфера увлечений и прочее.

Вообще ПД может быть любая информация, так или иначе выделяющая человека среди других. То есть всё, что касается конкретной персоны и есть ПД. По большому счету человек сам определяет, что для него, соответственно, и для всех будет перс.данными.

Но есть мнение у ряда специалистов, что в ПД входит лишь шесть элементов: фамилия, имя, отчество, дата рождения, место рождения и пол. Но это весьма спорно.

Где накапливаются

Характеристики о гражданине концентрируются на разных информсборниках (материальные носители), это может быть бумажные анкеты, карточки, учетные листы, фото-текстовые материалы либо компьютерная база, автоматизированные сводные данные и многое другое.

ПД формируются:

Все эти организации и учреждения носят название операторы по работе с перс.данными (далее также — Оператор).

Как накапливают

Сведения предоставляются самим человеком (субъектом ПД), либо путем получения их от других организаций и ведомств, либо из открытых источников (из страничек соц.сетей, объявлений в СМИ, прочее).

Какие манипуляции

Оборот ПД детально описан в ФЗ 152 от 27.07.2006 г. и представляет из себя такие действия, как:

  • Сбор. Это получение сведений каким-либо органом, учреждением, организацией;
  • Хранение. Нахождение информации в помещениях сборщика ПД или специализированных организаций (в шкафах, сейфах, стеллажах — если бумажная информация, на компьютерах, серверах, лазерных дисках – если сведения автоматизированы), которое охраняется и ограничен доступ посторонним лицам.
  • Обработка. Компоновка, систематизация по картотекам, автоматизированным базам. А также актуализация данных, удаление неточностей, подобное.
  • Передача. Предоставление полностью или части по запросам, в порядке служебного или профессионального взаимодействия. При этом могут передавать как картотеки, базы полностью (без оставления данных у себя), так и выписки, справки, копии материалов.
  • Раскрытие. То есть создание условий для обзора информации кем угодно (неограниченного круга людей). В том числе распространение через Интернет, СМИ и т.п.
  • Уничтожение. Физическая ликвидация носителя информации. Это когда стираются компьютерные файлы, удаляются Интернет-ссылки, утилизируется папки бумаг с материалами, подобные действия.

Оформление ходатайства

В законах РФ нет четких требований к заполнению заявления о фальсификации доказательной базы. Такая особенность имеет ряд недостатков. В частности, каждый суд может установить собственные правила к наполнению документа, а при ошибочном заполнении бумага отклоняется.Чаще всего в заявлении указываются следующие данные:

  • наименование суда
  • данные по сторонам процесса
  • ФИО лица, которое заявляет о фальсификации доказательств
  • описание подлога
  • список доказательств, свидетельствующих о подделке

Вместе с заявлением передается документация, которая подтверждает подделку.Право подачи ходатайства предусмотрено любым участником процесса. Это право закреплено в АПК РФ (статье 161). Что касается ГПК, в нем такая возможность предоставляется тем лицам, которые имеют подобные права. В обоих случаях формулировка размыта, что не позволяет определить точный список лиц, имеющих право обратиться к суду с информацией о фальсификации доказательств. В частности, не понятна возможность подачи такого заявления частным лицом, выступающим в роли независимого субъекта.

Как и когда уничтожают личные данные

Процедура уничтожения предполагает такие действия, после которых информацию невозможно использовать. Но в действующем законодательстве не описаны подробности этой процедуры, а в Роскомнадзоре считают, что оператору самостоятельно следует определить, как и каким образом это сделать, но с учетом имеющихся в законах и подзаконных актах норм.

Из этих норм вытекает, что прекратить обработку и уничтожить личную информацию о гражданах необходимо, если:

  • субъект персданных обратился с заявлением об отзыве согласия на обработку личных сведений и ее уничтожение;
  • собранная информация больше не нужна, оператор достиг целей, для которых она обрабатывалась, использовалась и хранилась;
  • появилась информация, что данные получены незаконно или обрабатывались с иной целью, нежели заявлял оператор;
  • иных случаях.

В зависимости от ситуации уничтожить сведения следует в течение 7–30 дней с момента возникновения оснований для прекращения их обработки.

ВАЖНО!

Если речь идет о персональных данных, содержащихся на бумажных носителях, то допустимо их сжигание, дробление (в том числе с помощью шредера), химическое воздействие. Когда данные записаны и хранятся в электронном виде, все копии стираются (удаляются), носитель форматируют.

Что это такое

Фальсификация — термин, характеризующий осознанное изменение фактов, используемых в судебном процессе в качестве основного или дополнительного доказательства. Искаженные и неправдивые данные передаются суду для рассмотрения, что часто сбивает его с правильного пути и подталкивает к вынесению несправедливого решения.Фальсификация имеет место при следующих действиях:

  1. Судебный орган получил в качестве доказательной базы поддельные документы или предметы, не имеющие связи с изучаемым вопросом.
  2. Суду переданы предметы или документы, которые перенесли значительные правки, из-за чего суть доказательств значительно искажена.
  3. Представители Фемиды получили в распоряжение данные о событиях по делу, не соответствующие истине. При этом лицо, передающее эту информацию, осознает их ложность.

Подделка доказательной базы — распространенное явление, которое отражено в уголовном и процессуальном праве РФ. Так, с учетом АПК РФ (статьи 161) при подаче заявления о фальсификации доказательств в судебный орган:

  • проводит разъяснения о последствиях такого обращения
  • убирает неправдивую доказательную базу из дела и не учитывает ее
  • изучает правдивость информации, изложенной в заявлении

Для подтверждения факта фальсификации доказательств требуется экспертная оценка или проведение иных мер.По ГПК РФ вопрос подделки доказательной базы рассматривается менее подробно. Здесь этот термин заменяется «подлогом». Так, в статье 186 документа указано, что при получении заявления о фальсификации доказательств суд вправе запросить экспертизу или предложить участникам процесса предъявитm дополнительную доказательную базу.Иными словами, АПК обязует, а ГПК предусматривает право на проведение такой проверки. Но и это не все. Если в административном праве ложные доказательства исключаются из дела сразу до выяснения обстоятельств, в гражданском кодексе такое требование не оговаривается.

Какая ответственность предусмотрена

Поскольку диспозиции в статье три, то и санкции законодатель предусмотрел с различной степенью ответственности – от штрафа до лишения свободы.

Часть 1 предусматривает:

  • штрафные санкции с максимальным размером в 200 тыс. рублей или заменой оплаты труда за 18 месяцев;
  • обязательные работы сроком не более 15 суток;
  • исправительные работы сроком не более 12 месяцев;
  • арест на 4 месяца;
  • лишение свободы максимальным сроком 24 месяцев.

Санкция части 2 грозит следующими видами наказания:

  • максимальный штраф увеличен на 100 тыс. рублей;
  • обязательные и исправительные работы заменены принудительными работами максимальным сроком на 48 месяцев;
  • арест увеличен на 1 месяц;
  • срок лишения свободы в максимальном размере 5 лет.

По части 3 предусмотрено только четыре из ранее описанных способов наказания:

  • штрафовать будут на сумму не более 350 тысяч рублей;
  • принудительные работы или лишение свободы до 72 месяцев;
  • арест на 6 месяцев.

https://youtube.com/watch?v=JUlUpg_aOBU

Передача результатов анализов и исследований по электронной почте и SMS

Передача пациенту результатов анализов и исследований по электронной почте, SMS, WhatsApp или иным подобным способом не скажу, что строго запрещена на законодательном уровне, но мягко говоря не рекомендована и вот почему. Потому что осуществляется по незащищенному каналу связи.

А ведь оператор персональных данных, которым является медицинская организация, обязан обеспечить безопасность персональных данных, в том числе при их передаче, пересылке. Помимо ФЗ № 152 имеется куча подзаконным актов, определяющих правила обеспечения технических мер защиты персональных данных. Это и Постановление Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» и Приказы ФСТЭКа, ФСБ. Нельзя сказать, что они прозрачны и понятны непродвинутым пользователям, они непрозрачны и непонятны даже технически продвинутым пользователям. Они у всех вызывают массу вопросов. Однако ясно одно – для передачи персональных данных по интернету (особенно это касается специальной категории персональных данных) должен быть организован защищенный канал для передачи данных в пределах контролируемой зоны. Классическим примером такого защищенного канала служит информационный ресурс АИС ОМС. Сейчас на повестке дня создание ресурса в рамках ЕГИСЗ.

Поэтому при пересылке медицинских документов пациенту по электронной почте или иным незащищенным каналам связи мы имеем две проблемы.

  1. Врачебная тайна – с письменного согласия пациента данные сведения можно направлять пациенту.
  2. Персональные данные — согласие не играет роли, так как канал связи все равно незащищенный.

Письменное согласие пациента на передачу ему медицинских документов таким способом при условии его надлежащего информирования (о том, что такие каналы связи не являются защищенными, и сведения, переданные по ним, могут стать доступными третьим лицам) не делает её законной. Однако очевидно минимизирует риск возможной претензии пациента. Таким образом, исходя из потребностей сегодняшнего времени мы рекомендуем нашим заказчикам или делать на сайте полностью защищенный личный кабинет для пациентов, откуда последние имели бы доступ к необходимой им информации и медицинской документации. Или альтернативный, но более слабый во всех отношениях вариант – это оформление согласия, а точнее даже просьбы пациента на передачу ему информации по электронной почте и иным подобным каналам связи, включая собственноручное указание пациента на то, что:

  1. Он проинформирован о том, что такая передача информации, в том числе медицинской информации и документации будет производиться по незащищенным каналам связи, в связи с чем возможна ее утечка и (или) иное непреднамеренное нарушение конфиденциальности.
  2. Несмотря на риск утечки персональных данных и сведений, составляющих врачебную тайну пациента, он выражает желание и просит работников медицинской организации направлять ему вышеуказанную информацию посредством электронной почты и(или) SMS-сообщений, так как риск ее утечки менее значим для него по сравнению с удобством и комфортом ее получения по современным каналам связи.
  3. Ну и то, что пациент здраво оценивает все риски и готов принять на себя возможную ответственность в случае нарушения конфиденциальности его медицинской информации в результате ее пересылки по незащищенным каналам связи.

Очевидно, что такое согласие-просьба пациента способно серьезно минимизировать риски возможной претензии со стороны пациента и его шансы в суде, однако навряд ли способно уберечь от органов надзора, так как повторяю согласие пациента не делает законной такую передачу персональных данных.

Что касается органов надзора, то здесь главную «скрипку» играет Роскомнадзор.

Административная ответственность предусмотрена ст. 13.11 КоАП «Нарушение законодательства Российской Федерации в области персональных данных».

Однако при некоторых обстоятельствах возможна и уголовная ответственность по статье 137 УК РФ «Нарушение неприкосновенности частной жизни».

Стоит не забывать и о возможной гражданско-правовой ответственности, то есть ответственности переда пациентом за причиненный ему вред, связанный с нарушением законодательства Российской Федерации в области персональных данных.

Требования Роскомнадзора

Порядок документального подтверждения уничтожения персональных данных нормативно не был урегулирован. Приказ Роскомнадзора устанавливает этот порядок и указывает, какие документы и основания подтверждают уничтожение ПД.

Уничтожение персональных данных, хранившихся на бумаге, подтверждает акт об уничтожении персональных данных. В нем нужно указать:

  • наименование юридического лица или ФИО физического лица и адрес оператора;
  • наименование юридического лица или ФИО физического лица, адрес лица, осуществляющего обработку ПД по поручению оператора;
  • ФИО физлица или иную информацию, чьи ПД были уничтожены;
  • ФИО и должность лиц, уничтоживших ПД, а также их подпись;
  • перечень категорий уничтоженных ПД;
  • наименование уничтоженных материальных носителей с ПД, с указанием количества листов каждого материального носителя (если ПД обработаны без использования средств автоматизации);
  • наименование информационной системы ПД, из которой были уничтожены ПД (в случае обработки ПД с использованием средств автоматизации);
  • способ уничтожения ПД;
  • причину уничтожения ПД;
  • дату уничтожения ПД.

Работадатель может самостоятельно разработать форму акта об уничтожении и утвердить ее приказом руководителя

Но важно, чтобы такая форма содержала все вышеуказанные реквизиты

Роскомнадзор предусматривает создание акта об уничтожении ПД и в электронной форме.

В случае использования оператором средств автоматизации, документами, подтверждающими уничтожение персональных данных, являются:

  • акт об уничтожении ПД;
  • выгрузка из журнала регистрации событий в информационной системе персональных данных.

Выгрузка из журнала должна содержать:

  • ФИО физлица или иную информацию, чьи ПД были уничтожены;
  • перечень категорий уничтоженных ПД;
  • наименование информационной системы ПД, из которой были уничтожены ПД;
  • причину уничтожения ПД;
  • дату уничтожения ПД.

В случае, если выгрузка из журнала не отражает эти сведения, то недостающие данные вносятся в акт об уничтожении ПД.

Акт об уничтожении ПД и выгрузка из журнала подлежат хранению в течение 3 лет с момента уничтожения персональных данных.

Приказ Роскомнадзора вступит в силу 1 марта 2023 года и будет действовать до 1 марта 2029 года.

Как удалить из различных носителей: пошаговая инструкция

Из Интернета

В зависимости от типа носителя, существует свой способ удаления ПД из интернета:

  1. . Необходимо зайти на страницу с настройками и нажать «закрыть аккаунт и удалить все службы и сведения, связанные с ним». Этот шаг считается самым радикальным, но при этом действенным, на случай, если вы желаете навсегда удалить следы своего нахождения в сети.
  2. . Зайти на страницу личных настроек, «промотать» до конца и нажать на ссылку «удалить свою страницу». Теперь нужно указать причину такого решения и написать последнее сообщение бывшим друзьям. Но это делается пожеланию. Можно просто удалить страницу и все данные, без каких-либо объяснений.
  3. . Удаление личных данных из этой социальной сети происходит немного сложнее. Так как эта компания не собирается хранить ПД в течение нескольких лет, а разгребать запросы на составления у них нет времени, так что перед стиранием аккаунта желательно сохранить его копию. Для этого предстоит перейти на страницу с настройками и внизу из перечня общих настроем выбрать «Загрузить копию».

    После этого вы можете скачать единым архивом фото, лайки, историю переписок и список друзей. Сюда же входит техническая информация по IP входа и coockies. Теперь через поисковую систему нужно отыскать «удаление аккаунта». Удаленные сведения будут находиться на хранении в «резерве» от 1 до 3-х месяцев.

    По истечении этого времени все данные будут утрачены безвозвратно. Но есть другой, менее “кровавый” методу. Для этого выбрать в настройках аккаунта пункт «Безопасность», а затем кликните «Деактиворовать аккаунт».Эта операция позволит скрыть всю вашу персональную информацию, включая «список друзей»,

Из бумажного

Когда срок хранения документации подошёл к концу, то удаление происходит методом измельчения на мелкие части или же другим способом, исключающим возможность дальнейшего восстановления информации. Бумажные носители могут сжигаться.

Из электронного

По завершении указанных сроков хранения машинные носители ПД, подлежащие уничтожению, физически удаляются с целью невозможности восстановления и последующего использования. Достичь это можно путем деформирования, нарушения единой целостности носителя и его сжигания. Файлы, подлежащие уничтожению и находящиеся на жёстком диске компьютера, удаляют средствами операционной системы с дальнейшим очищением корзины.

Удаление личных данных – это процедура уничтожения с невозможностью дальнейшего использования и обработки. Способ уничтожения зависит от того, какой тип носителя был использован для хранения ПД. Все манипуляции, совершаемые специальной комиссией, должны быть вписаны в соответствующий акт.

Порядок утилизации персональных данных

Для того, чтобы минимизировать риски наступления административных или даже уголовных последствий, уничтожение персональных данных должно проходить строго по определенной законодательством процедуре.

На первом этапе приказом руководителя создается специальная комиссия. В ее задачи входит нахождение устаревших и неактуальных персональных данных, создание списка документов и носителей, в которых они содержатся, сам процесс элиминации и составление соответствующего акта. В состав комиссии входят руководитель и не менее двух сотрудников. Обычно для этой цели привлекают бухгалтеров, сотрудников отдела кадров или делопроизводителей.

При этом необходимо иметь в виду, что для некоторой информации, которая может быть отнесена к персональным данным, законодательно установлены более длительные сроки хранения. После увольнения сотрудника, работодатель должен уничтожить даже копии документов, содержащих его паспортные данные, номера СНИЛС и ИНН и т.д. Однако, согласно ст. 17 и 22.1 Федерального закона от 22 октября 2004 г. № 125-ФЗ «Об архивном деле в Российской Федерации», работодатель обязан хранить документы, подтверждающие факт работы, документы о заработной плате, об отчислениях в ПФР и т.п. в течение 75 лет. Следовательно, они не подлежат уничтожению, даже если сотрудник уже не работает в компании.

После проведения процедуры элиминации персональных данных, в задачи комиссии входит не только составление акта с указанием уничтоженных носителей, но и отслеживание того, чтобы они были списаны в соответствующих журналах и книгах учета.

Последствия незаконного распространения персональных данных

   Итогом нарушения любого из требований закона о персональных данных помимо денежной компенсации и возмещения возможных убытков является наличие публичной санкции в виде административного или уголовного наказания. При этом, ответственность возможна как за сбор, так и дальнейшую обработку, и распространение данных о личности.

   Применение административная ответственность за разглашение персональных данных допускается в том случае, если не наступают последствия, связанные с уголовным преследованием. Размер санкции статьей 13.11 административного кодекса определяется в зависимости от того, кто выступает распространителем – физическое (в т.ч. должностное) либо юридическое лица. Также на размер штрафа влияет конкретный вид совершенного нарушения – выбор части приведенной статьи закона напрямую связан именно с объективной стороной нарушения.

   Наказание по рассматриваемому преступлению непосредственно зависит от исполнителя (отдельная санкция содержится для должностных лиц), а также от способа разглашения информации. Поскольку распространение сведений в СМИ или при публичном выступлении очевидно наносит больший вред, то и ответственность аналогична закреплена законом более суровая.

   Помимо указанных наказаний по 137 статье УК РФ, штраф за нарушение 152 ФЗ предусмотрен и в следующей – 138 статье. Преступлением в таком случае также будет признаваться нарушение в области переписки лиц. Вид полученной переписки между гражданами не имеет значения. При решении вопроса какое наказание за разглашение персональных данных в случае переписки равнозначно нарушением тайны будет считаться сведения телефонного разговора, электронных или почтовых писем.

Законные способы получения и использования данных

Самый известный и распространенный способ сбора, хранения и распространения ПД – это дача согласия человека на работу с его данными Оператору.

Такое согласие дается добровольно, в письменном виде и в любой момент может быть отозвано самим человеком. В последнее время всё чаще приходится сталкиваться с тем, что к любому пакету документов (при разного рода обращениях в государственные и муниципальные учреждения) добавляют согласие на обработку ПД.

Можно ли не давать согласие?

Наверно, многих мучил вопрос: будут ли неблагоприятные последствия, если не давать согласие на обработку ПДн? А ведь такие ситуации сплошь и рядом: например, человек обращается в МФЦ для выдачи пособия, встает в центр занятости на учет, оформляется на работу, подает в банк заявку на получение кредита, идет в стоматологическую клинику за услугой, заключает договор на оказание услуг связи, прочее.

Так вот согласие на использование ПД никак не влияет на достижение указанных целей. Отказ от подписания уведомления на ПД не является основанием для отказа в предоставлении услуг, заключении договора. Просто оператор ПД может использовать полученные сведения только и исключительно в целях обращения гражданина.

А согласие просят, чтобы лишний раз оградить себя от ответственности за нарушение закона о персональных данных перед Роскомнадзором, который курирует вопросы оборота перс.данных.

Поэтому, когда Вам дадут на подпись бланк согласия, можно отказываться от его подписания. А лучше потребовать, чтобы в этом бланке обозначили состав ПД, конкретные цели для чего оно берется.

Когда не требуется согласие

Вообще есть ситуации, когда согласие вовсе не требуется. То есть получатель информации может без предупреждения накапливать её и использовать, что не будет считаться незаконным использованием персональных данных. Такое возможно в следующих случаях:

  • ведение судебного спора (гражданский, административный, уголовный, прочее);
  • при исполнительном производстве у судебных приставов;
  • в отношениях между работником и работодателем касаемо трудовых функций;
  • при заключении договоров о предоставлении (займов, кредитов), а также поручительства по ним;
  • по гражданско-правовым договорам, где субъект ПД является стороной сделки (покупатель, заказчик и пр.) и они нужны для надлежащего исполнения сделки;
  • в ходе журналисткой деятельности;
  • для выполнения функций гос/муниципальных органов при оказании услуг, реализации прочих задач в социально-общественной сфере;
  • в ситуациях, когда гражданину нужно оказать срочную помощь (в том числе медицинскую), ликвидировать источник общественной опасности, если получить согласие затруднительно;
  • проведение научно-статистических и исследовательских мероприятий, при этом материалы обезличиваются;
  • когда информация о человеке является открытой, размещена им же в публичных источниках, например, в сети Интернет.

Естественно, использование перс.данных в перечисленных случаях должно быть направлено на те цели, в соответствии с которыми возникла необходимость.

Рейтинг
( Пока оценок нет )
Editor
Editor/ автор статьи

Давно интересуюсь темой. Мне нравится писать о том, в чём разбираюсь.

Понравилась статья? Поделиться с друзьями:
ПрофиСлайд
Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: