Как хранить персональные данные в медучреждениях?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Медицинские организации обрабатывают особые категории персональных данных — сведения о здоровье пациентов. Это один из самых чувствительных видов информации, поэтому к хранению предъявляются повышенные требования.

Персональные данные пациентов могут храниться как на бумажных носителях (медкарты, журналы учёта), так и в электронных медицинских системах. Во всех случаях нужно обеспечить конфиденциальность, защиту от несанкционированного доступа и строгое разграничение прав сотрудников.

Бумажные документы должны храниться в помещениях с ограниченным доступом: закрытые шкафы, сейфы, архивы. Доступ разрешается только медицинскому персоналу, определённому приказом руководителя. Электронные базы должны размещаться на территории России, с применением сертифицированных средств защиты: антивирусы, межсетевые экраны, системы шифрования.

Обоснование по законодательству

• ФЗ-152, ст. 10 — данные о здоровье относятся к специальным категориям ПДн, их обработка возможна только с согласия пациента или по закону.
• ФЗ-323 «Об основах охраны здоровья граждан» — медорганизации обязаны хранить медицинские документы в установленном порядке и обеспечивать их конфиденциальность.
• ФЗ-152, ст. 19 — оператор обязан принимать меры для предотвращения утечек и неправомерного доступа.
• Постановление Правительства № 1119 — устанавливает требования к защите ИСПДн, включая медицинские.
• Приказы Минздрава РФ  — регулируют порядок ведения и хранения медицинских документов.

Позиция Роскомнадзора и практика проверок

Роскомнадзор отмечает, что нарушения чаще всего связаны с хранением бумажных карт в открытом доступе, отсутствием приказов о назначении ответственных за архивы, а также использованием зарубежных облачных сервисов для обмена данными между врачами. В некоторых случаях надзорные органы указывают на необходимость ведения журналов доступа сотрудников к медицинским базам.

Что важно учитывать медучреждениям

• Медкарты и архивы должны храниться в закрытых помещениях.
• Электронные базы — только в российских дата-центрах или на собственных серверах.
• Доступ к данным должен быть строго разграничен по должностям.
• Все сотрудники обязаны пройти инструктаж по работе с ПДн.
• Сроки хранения медицинских документов устанавливаются приказами Минздрава и могут составлять от 5 до 25 лет в зависимости от вида документа.

Рекомендации и выводы

Для медучреждения важно сочетать требования законодательства о персональных данных и отраслевые приказы Минздрава. Чтобы избежать претензий проверяющих органов, необходимо:

1. Организовать архивы и серверные с ограниченным доступом.
2. Получать письменные согласия пациентов на обработку данных.
3. Использовать сертифицированные средства защиты информации.
4. Вести журналы доступа и уничтожения документов по срокам.
5. Оформить полный пакет документов по ФЗ-152.

Компания ICTech поможет медицинским организациям выстроить систему хранения ПДн пациентов: разработаем регламенты, согласия и приказы, проверим ИТ-инфраструктуру, приведём архивы в соответствие с законом.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге

Title: Как хранить персональные данные пациентов в медучреждениях
Description: Разбираем требования к хранению ПДн в медицинских организациях: архивы, базы, согласия, сроки и практика проверок Роскомнадзора.

Хотите, я подготовлю отдельный обзор сроков хранения медицинских документов по приказам Минздрава?