Какие документы по ПДн проверяют в медицинских организациях?

Медицинские организации — одна из наиболее «чувствительных» сфер для Роскомнадзора, так как они обрабатывают не только общие, но и специальные категории персональных данных (сведения о здоровье пациентов). Поэтому к документам здесь предъявляются повышенные требования.

Основные документы, которые проверяют в медучреждениях:

1. Политика в отношении обработки ПДн — размещённая на сайте и утверждённая руководителем.
2. Положение об обработке и защите ПДн — внутренний документ, описывающий порядок работы с данными пациентов, сотрудников и подрядчиков.
3. Приказ о назначении ответственного за ПДн.
4. Перечень обрабатываемых персональных данных (пациентов, сотрудников, контрагентов).
5. Согласия пациентов:
   • на обработку ПДн;
   • на обработку специальных категорий данных (состояние здоровья, результаты анализов);
   • на передачу данных в страховые компании, ФОМС и иные организации;
   • отдельные согласия на фото- и видеосъёмку.
6. Журнал регистрации согласий пациентов и сотрудников.
7. Журнал учёта обращений субъектов ПДн (например, пациентов, требующих исправить или удалить данные).
8. Регламент доступа к ПДн и перечень лиц, имеющих доступ.
9. Договоры с подрядчиками и сторонними организациями, которым передаются ПДн (страховые компании, IT-подрядчики, лаборатории).
10. Документы по защите ПДн: план реагирования на инциденты, акты об уничтожении, протоколы обезличивания.
11. Журналы инструктажей сотрудников по работе с ПДн и приказы об их обучении.

Обоснование по законодательству

• ФЗ-152 — устанавливает общие требования к документам и мерам защиты ПДн.
• Ст. 10 ФЗ-152 — специальные категории данных (о здоровье) обрабатываются только с согласия пациента или на основании закона.
• ФЗ-323 «Об охране здоровья граждан» — закрепляет право пациента на медицинскую тайну и обязанность медорганизаций её соблюдать.
• Ст. 88 ТК РФ — работодатели обязаны получать согласие работников на передачу их ПДн.
• Постановление Правительства РФ № 1119 — об утверждении требований к защите ПДн при их обработке в ИСПДн.

Практика проверок Роскомнадзора

При проверках медучреждений РКН часто выявляет отсутствие отдельного согласия на обработку специальных категорий данных. В одной клинике использовали общее согласие на обработку ПДн, без выделения медицинских сведений — Роскомнадзор признал это нарушением. В другой проверке выяснилось, что пациенты подписывали согласие, но организация не вела журнал их регистрации — предписание устранить. Также РКН обращает внимание на договоры с подрядчиками: если данные передаются страховой компании без надлежащего оформления, это фиксируется как нарушение.

Что важно учитывать медорганизациям

• Согласия должны быть разделены по видам обработки (медицинские данные, передача в страховые, фото/видео).
• Все сотрудники, имеющие доступ к ПДн, должны быть официально допущены приказом и ознакомлены с инструкциями.
• Документы должны обновляться с учётом изменений в законодательстве.
• При уничтожении ПДн составляется акт, а при обезличивании — протокол.

Рекомендации и выводы

Да, медицинские организации обязаны иметь полный комплект документов по ПДн, включая согласия на обработку специальных категорий данных. Чтобы избежать претензий Роскомнадзора, необходимо:

1. Утвердить и поддерживать в актуальном состоянии политику и положение об обработке ПДн.
2. Оформлять отдельные согласия пациентов на обработку медицинских данных и их передачу третьим лицам.
3. Вести журналы согласий, инструктажей и обращений субъектов.
4. Заключать договоры с подрядчиками с включением условий об обработке ПДн.

Компания ICTech поможет вашей медицинской организации подготовить полный пакет документов по ФЗ-152, включая все формы согласий и регламенты, чтобы исключить риски штрафов и защитить данные пациентов.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге