Доктор, обработайте мне данные

Как организовать защиту персональных сведений в медицинской организации

Практика обращения в суды пациентов, пострадавших от утечек персональных данных (ПД), пока еще не развита в России. Однако в ближайшем будущем ситуация кардинально изменится. После введения оборотных штрафов за утечки ПД эксперты прогнозируются всплеск судебных разбирательств. Как медицинским учреждениям организовать безопасный оборот персональных данных – в материале RSpectr.

МЕНЯТЬ, НЕ ДОЖИДАЯСЬ ПРОВЕРОК

Если две медицинские компании начали сотрудничество, но не обговорили при этом условия обмена персональными данными, то есть не заключили договор поручения их обработки, то будет трудно определить, кто из них получит штраф за утечку данных, отметил в своем выступлении 7 сентября на вебинаре «Персональные данные в медицине и врачебная тайна» управляющий партнер lukash & Partners Денис Лукаш. Он подчеркнул, что

вопрос правильной обработки персданных зависит от бизнес-процессов, а не от документов

Прежде всего организация должна провести аудит, чтобы понять, какие персональные данные она обрабатывает, и разложить их по категориям: пациенты, сотрудники (действующие, бывшие или кандидаты), посетители сайта компании или контрагенты.

Денис Лукаш, lukash & Partners:

– По каждой категории нужно разложить перечень персданных, которые вы обрабатываете. Здесь вас может ожидать сюрприз – по какому-то перечню вы не сможете найти обоснования для обработки, то есть возникает избыточная обработка ПД, за которую грозит штраф от 60 тыс. рублей.

В российском законодательстве персональные данные определены как «любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу». Но на практике квалифицировать подобные сведения бывает очень сложно.

Денис Лукаш напомнил цель закона «О персональных данных» – защита прав и свобод гражданина при обработке его персданных, в том числе защита его прав на неприкосновенность частной жизни, личную и семейную тайну. Исходя из этого, заключил он,

все данные, влияющие на права человека, следует относить к персональным

Денис Лукаш, lukash & Partners:

– Существует телесная приватность – например, никто не имеет права без вашего разрешения подойти и потрогать вас. Также существует и фундаментальное право человека на информационную приватность. Поэтому, если есть какое-то воздействие на права человека через его личные сведения, это и есть персданные.

Понимание этого значительно упрощает работу с личной информацией, подчеркнул эксперт.

ОСОБЫМ ОБРАЗОМ

Кроме персональных данных существуют специальные категории ПД, описанные в статье 10 закона «О персональных данных», к которым относятся сведения о состоянии здоровья человека. Информация из этой категории должна защищаться и обрабатываться особым образом, напомнил Денис Лукаш.

Эксперт отметил, что

Роскомнадзор относит к сведениям о состоянии здоровья декларативное заявление физического лица об отсутствии заболеваний

Подобная ситуация может возникнуть, например, при оформлении страховки. Соответственно, страховая компания уже обрабатывает эту информацию как относящуюся к специальной категории ПД, отметил Денис Лукаш.

Он ссылается на позицию Роскомнадзора, озвученную в ходе вебинара, прошедшего 1 марта 2023 года. Специалисты ведомства отметили, что для медицинских организаций не требуется согласие на обработку ПД пациентов при:

• оказании медпомощи в экстренных случаях;
• внесении изменений в государственные информационные системы в сфере здравоохранения.

В целом, в заключенном с пациентом договоре должны быть предусмотрены случаи, когда медорганизация будет обрабатывать его ПД. Тогда согласие на обработку личной информации не требуется, подчеркнул эксперт.

Денис Лукаш, lukash & Partners:

– Бывают ситуации, в которых на первый взгляд сложно выделить обработку персданных. Например, учреждение сотрудничает с ИТ-компанией, которая обслуживает сложное медоборудование и имеет доступ к идентификаторам пациентов и результатам исследования. Это также будет считаться обработкой специальных персональных данных.

Поэтому, подчеркнул он,

доступ сторонних организаций к базам данных нужно ограничивать

В схеме «пациент – медкомпания – подрядчик» первый не имеет прямых отношений с подрядной организацией, но у него есть отношения с медкомпанией. Поэтому медицинская компания должна иметь бизнес-договор о поручении обработки персданных пациентов с подрядной организацией, отметил эксперт.

ПОЛИТИКА СКОРЕЕ ЕСТЬ…

Эксперт lukash & Partners Анастасия Кругова рассказала об основных ошибках, встречающихся в политиках обработки персональных данных. Она напомнила о том, что

оператор обязан опубликовать документ, определяющий его политику в отношении персданных для всех субъектов ПД, чьи данные он обрабатывает

Но на практике это условие выполняется не всегда. Из 14 ведущих клиник Москвы и Московской области 10 разместили на своих сайтах документ, в котором описана подобная политика, констатировала Анастасия Кругова. При этом у двух учреждений есть согласия на обработку личной информации. Еще у двух на информационном ресурсе нет никакой информации об обработке ПД.

Эксперт в области медицинского права Анжелика Ремез назвала эту статистику «достаточно хорошей».

Анжелика Ремез, эксперт в медицинском праве:

– Здесь приводятся сведения именно по ведущим медучреждениям столицы, которые задают тон в отрасли. Если посмотреть на средние и небольшие клиники, то там процент отсутствия информации об обработке персданных будет гораздо выше.

Самыми распространенными ошибками, которые медорганизации допускают при создании политики обработки персданных, являются: отсутствие перечня субъектов, чьи ПД обрабатываются, отсутствие перечня обрабатываемых данных и контактов оператора.

Анастасия Кругова, lukash & Partners:

– За невыполнение оператором предусмотренной законодательством РФ обязанности по публикации политики оператора в отношении обработки предусматривается административный штраф. Для юридических лиц его сумма может составлять до 60 тыс. рублей.

В документе, определяющем политику оператора в отношении обработки персональных данных, эксперт рекомендует указывать:

• информацию об операторе (наименование или ФИО, ИНН), контакты;
• цели обработки, категории и перечень обрабатываемых ПД;
• категории субъектов, ПД которых обрабатываются, способы, сроки их хранения, порядок уничтожения;
• правовые основания обработки личной информации;
• перечень мер, принимаемых оператором и направленных на обеспечение выполнения оператором законодательства;
• информацию о передаче оператором третьим лицам с указанием правового основания, цели, состава передаваемых сведений;
• сведения об осуществлении трансграничной передачи персональных данных с указанием стран, на территорию которых передаются ПД;
• способы связи с оператором для реализации прав субъектов персданных.

Медицинским организациям следует должным образом выстраивать коммуникацию с субъектами персональных данных, чтобы они понимали, каким образом обрабатывается их личная информация, подчеркнула эксперт.

Тимур Халудоров