Обоснование по законодательству
- Ст. 3 ФЗ-152: оператором признаётся любое лицо, которое организует обработку ПДн.
- Ст. 10 ФЗ-152: сведения о здоровье — это специальная категория ПДн, их обработка допускается только с согласия субъекта или в случаях, установленных законом.
- Ст. 22 ФЗ-152: уведомление обязаны подавать все операторы, в том числе индивидуальные предприниматели.
- ФЗ «Об основах охраны здоровья граждан»: обязывает вести медицинскую документацию, что предполагает обработку медицинских данных.
Как заполнить уведомление врачу-ИП
Цели обработки: «подготовка, заключение и исполнение гражданско-правового договора»; «иная — ведение медицинской документации и оказание медицинских услуг».
Категории субъектов: пациенты.
Перечень данных: ФИО, дата рождения, паспортные данные, контактные данные, сведения о здоровье (анамнез, результаты анализов, назначения).
Правовое основание: письменное согласие пациента на обработку ПДн, а также требования законодательства о здравоохранении.
Место хранения: локальные компьютеры, защищённые медицинские системы (МИС), серверы в РФ. Если используется облачный сервис, нужно указать провайдера и трансграничную передачу (при зарубежных серверах).
Рекомендации и выводы
Врач-ИП обязан уведомить Роскомнадзор, так как он работает со специальной категорией ПДн. Уведомление нужно дополнить пакетом документов: согласиями пациентов, политикой обработки ПДн, приказами и описанием мер защиты. Это особенно важно для электронных карт, так как к ним предъявляются более высокие требования по безопасности.
