Является ли медицинская карта пациента персональными данными?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, медицинская карта пациента относится к персональным данным, и более того — к специальной категории персональных данных, так как содержит сведения о здоровье. Это одна из наиболее чувствительных категорий информации, подлежащая усиленной защите. В медицинской карте фиксируются ФИО пациента, паспортные данные, адрес, сведения о родственниках, результаты анализов, диагнозы, назначенное лечение и другие данные, составляющие медицинскую тайну.

Почему это ПДн:

• карта содержит сведения, позволяющие идентифицировать пациента;
• в ней отражаются данные о здоровье, а они отнесены законом к специальным категориям ПДн;
• карта ведётся и хранится медицинской организацией в силу закона, и её использование строго регламентировано.

Обоснование по законодательству

• Ст. 3 ФЗ-152 — персональные данные включают любую информацию о физическом лице; медицинская карта содержит такие сведения.
• Ст. 10 ФЗ-152 — сведения о здоровье относятся к специальным категориям ПДн, их обработка требует письменного согласия пациента (за исключением случаев, прямо предусмотренных законом).
• Ст. 13 ФЗ-323 «Об основах охраны здоровья граждан в РФ» — данные о состоянии здоровья составляют медицинскую тайну и подлежат защите.
• Ст. 91 Приказа Минздрава РФ № 834н от 15.12.2014 — регламентирует порядок ведения и хранения медицинских карт пациентов.

Практика и позиция Роскомнадзора

Роскомнадзор и Минздрав подтверждают: медицинские карты — это персональные данные особой категории, и к ним применяются повышенные требования безопасности.
Пример: клиника хранила медицинские карты пациентов в незапертом шкафу с доступом для посторонних сотрудников. Проверка РКН признала это грубым нарушением.
Другой случай: медорганизация ввела строгий учёт доступа к картам, хранила их в сейфах и использовала шифрование в электронных базах. Нарушений не выявлено.

Что важно учитывать медицинским организациям

Медицинская карта пациента не только ПДн, но и объект медицинской тайны. Нарушения при её хранении или разглашении влекут ответственность не только по ФЗ-152, но и по ФЗ-323.

Рекомендации и выводы

Да, медицинская карта пациента — это персональные данные, и организация обязана:

1. Получать письменное согласие пациента на обработку медицинских данных (если не применяется исключение из закона).
2. Хранить карты в условиях, исключающих доступ посторонних лиц.
3. Организовать строгий учёт и разграничение доступа сотрудников.
4. Включить порядок работы с медицинскими картами в комплект документов по ФЗ-152 и ФЗ-323.

Компания ICTech поможет вашей медицинской организации разработать формы согласий пациентов, регламенты хранения медицинских карт и полный пакет документов по ФЗ-152, чтобы исключить претензии Роскомнадзора.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге