Проверка Роскомнадзора в медицинских организациях (клиники, больницы, лаборатории, частные кабинеты) имеет особенности, связанные с высокой чувствительностью обрабатываемых персональных данных пациентов. Инспекторы оценивают соответствие организации требованиям 152-ФЗ и дополнительным нормативам, регулирующим медицинскую деятельность.
Этапы проверки
-
Предварительная подготовка:
Плановая или внеплановая проверка начинается с уведомления организации (для плановой) или на основании жалоб, предписаний других органов (для внеплановой). Инспекторы формируют перечень документов, которые необходимо предоставить. -
Анализ документации:
Проверяются внутренние документы, включая политику обработки персональных данных, должностные инструкции ответственного за ПДн, локальные акты, журналы учета и реестр обработки данных. Особое внимание уделяется документированию согласий пациентов на обработку их персональных данных и медицинской тайны. -
Фактическая проверка:
Инспекторы осматривают серверные и архивные помещения, проверяют системы хранения и обработки данных пациентов, включая электронные медицинские записи и лабораторные базы. Оценивается соблюдение технических мер защиты: разграничение доступа, шифрование данных, резервное копирование, антивирусная защита. -
Работа с персоналом:
Проверяется, прошли ли сотрудники обучение по обработке персональных данных и соблюдению требований медицинской тайны, ознакомлены ли с внутренними регламентами и инструкциями. -
Выдача документов:
По результатам проверки составляется акт проверки и, при необходимости, предписание об устранении нарушений. В случае отсутствия нарушений может быть выдан отчет об отсутствии нарушений.
Особенности для медицинских организаций:
— Обработка персональных данных пациентов требует соблюдения правил медицинской тайны и строгого учета согласий.
— Электронные медицинские записи и лабораторные системы должны быть защищены в соответствии с требованиями 152-ФЗ и приказами Минздрава.
— Передача данных третьим лицам (лаборатории, страховые компании, ИТ-подрядчики) должна быть оформлена договорами с обязательными условиями по защите данных.
— Дополнительно учитываются требования к хранению результатов обследований и срокам хранения медицинской документации.
Обоснование по законодательству
— Федеральный закон №152-ФЗ «О персональных данных» — ст. 6–9, ст. 24 (согласие субъектов данных, меры по защите, права пациентов).
— Приказ Роскомнадзора от 1 июня 2017 г. №136 — регламент проведения проверок операторов ПДн, включая медицинские организации.
— Федеральный закон №323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» — ст. 13 (медицинская тайна, порядок обработки данных пациентов).
— Методические рекомендации Роскомнадзора и Минздрава по защите персональных данных в медицинской сфере.
Типичные ошибки медицинских организаций
— Отсутствие согласий пациентов на обработку данных или неправильное их оформление.
— Не ведется реестр обработки персональных данных пациентов.
— Недостаточная защита электронных медицинских систем и архивов.
— Передача данных лабораториям или страховым компаниям без договоров с обязанностями по защите информации.
Рекомендации и выводы
-
Подготовьте полный пакет документов по обработке персональных данных, включая согласия пациентов и внутренние регламенты.
-
Обеспечьте надежную защиту электронных и бумажных медицинских данных: шифрование, резервное копирование, контроль доступа.
-
Проведите обучение сотрудников требованиям 152-ФЗ и соблюдению медицинской тайны.
-
Заключите договоры с подрядчиками, имеющими доступ к персональным данным пациентов, с обязательными условиями по защите информации.
-
Для полной подготовки к проверке и минимизации рисков штрафов ICTech предлагает услугу «Разработка комплекта документов по защите персональных данных 152-ФЗ для организаций», включающую аудит, настройку процессов и сопровождение проверки.
