Персональными данными пациента признаётся любая информация, которая прямо или косвенно относится к человеку и позволяет его идентифицировать. В медицинской сфере это не только ФИО и контакты, но и сведения о здоровье, которые относятся к специальной категории ПДн и требуют особой защиты.
К персональным данным пациента относятся:
- основные сведения: ФИО, дата и место рождения, пол, адрес проживания, паспортные данные;
- контактные данные: телефон, e-mail, адрес для корреспонденции;
- идентификационные данные: СНИЛС, ИНН, полис ОМС или ДМС;
- сведения о состоянии здоровья: диагнозы, жалобы, результаты анализов и обследований, назначения, сведения о прививках, инвалидности;
- биометрические данные: фотографии, рентгеновские снимки, МРТ, отпечатки пальцев или иные данные, позволяющие идентифицировать личность по физиологическим признакам;
- финансовая информация: данные о договорах на оказание медицинских услуг, реквизиты для оплаты.
Все эти категории данных обрабатываются медицинскими организациями и подлежат защите в соответствии с ФЗ-152 и ФЗ-323 «Об основах охраны здоровья граждан».
Обоснование по законодательству
- Ст. 3 ФЗ-152 — персональные данные — любая информация, относящаяся к прямо или косвенно определённому физическому лицу.
- Ст. 10 ФЗ-152 — сведения о состоянии здоровья относятся к специальным категориям персональных данных, их обработка возможна только при наличии письменного согласия субъекта или по основаниям, установленным законом.
- ФЗ № 323 «Об основах охраны здоровья граждан» — закрепляет обязанность медицинских организаций обеспечивать конфиденциальность данных о состоянии здоровья и врачебную тайну.
- Ст. 13.11 КоАП РФ — нарушение порядка обработки и защиты персональных данных влечёт административную ответственность.
Позиция Роскомнадзора и практика
Роскомнадзор относит к персональным данным пациентов любые сведения, зафиксированные в медицинских картах, журналах приёма, базах данных и даже в переписке с клиникой. В проверках часто выявляются нарушения, связанные с публикацией медицинской информации или передачей её без согласия пациента.
Например, в одной клинике в листе записи на приём указывались фамилии всех пациентов на текущий день и вывешивались на ресепшене. Роскомнадзор признал это нарушением, так как данные были доступны третьим лицам.
Важный момент для медицинских организаций
Даже минимальный набор данных пациента (ФИО + телефон) признаётся персональными данными. Если речь идёт о медицинской информации, то она подпадает под специальную категорию и требует письменного согласия пациента на обработку.
Рекомендации и выводы
К персональным данным пациента относится практически вся информация, которую получает и хранит медицинская организация. Чтобы действовать законно, клиникам необходимо:
- Разрабатывать и использовать письменные согласия на обработку ПДн пациентов.
- Обеспечивать конфиденциальность медицинской информации и врачебной тайны.
- Ограничивать доступ сотрудников к данным по принципу необходимости.
- Включить порядок обработки данных пациентов в комплект документов по ФЗ-152.
Компания ICTech поможет медицинским организациям подготовить полный комплект документов для законной обработки ПДн пациентов, разработать формы согласий и организовать защиту медицинских данных в соответствии с ФЗ-152.
