Статья 13. Соблюдение врачебной тайны
1. Информация о посещении гражданином медицинских учреждений, его состоянии здоровья и диагнозе, а также другие данные, полученные при его обследовании и лечении, являются врачебной тайной.
2. Разглашение информации, составляющей врачебную тайну, запрещено лицам, которые узнали её в процессе выполнения трудовых, должностных, служебных и иных обязанностей, включая случаи, предусмотренные пунктами 3 и 4 данной статьи.
3. Разглашение информации, составляющей врачебную тайну, другим лицам, включая должностные лица, для целей медицинского обследования и лечения пациента, научных исследований, публикации в научных изданиях, использования в учебном процессе и других целях, разрешается только при письменном согласии гражданина или его законного представителя. Согласие на разглашение информации, составляющей врачебную тайну, может быть дано также в рамках информированного добровольного согласия на медицинское вмешательство.
(часть 3 в редакции Федерального закона от 02.07.2021 N 315-ФЗ)
(см. текст в предыдущей редакции)
3.1. После смерти гражданина информация, составляющая врачебную тайну, может быть разглашена супруге (супругу), близким родственникам (детям, родителям, усыновленным, усыновителям, родным братьям и сестрам, внукам, дедушкам, бабушкам) или другим лицам, указанным гражданином или его законным представителем, если нет запрета на разглашение информации, составляющей врачебную тайну.
(часть 3.1 введена Федеральным законом от 02.07.2021 N 315-ФЗ)
4. Предоставление информации, составляющей врачебную тайну, без согласия гражданина или его законного представителя допускается в следующих случаях:
1) для проведения медицинского обследования и лечения гражданина, неспособного выразить свою волю в результате своего состояния, с учетом положений пункта 1 части 9 статьи 20 данного Федерального закона;
2) при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
3) по запросу органов дознания и следствия, суда в связи с проведением расследования или судебного разбирательства, по запросу органов прокуратуры в связи с осуществлением ими прокурорского надзора, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и контролем за поведением ос
4) Если медицинская помощь предоставляется несовершеннолетнему в соответствии с пунктом 2 части 2 статьи 20 Федерального закона, а также несовершеннолетнему, который не достиг возраста, указанного в части 2 статьи 54 этого Федерального закона, необходимо уведомить одного из его родителей или иного законного представителя;
5) Для информирования органов внутренних дел:
а) о поступлении пациента, по поводу которого есть основания полагать, что его здоровью нанесен вред в результате противоправных действий;
б) о поступлении пациента, который по состоянию здоровья, возрасту или другим причинам не может сообщить данные о своей личности;
в) о смерти пациента, личность которого не установлена;
(п. 5 в ред. Федерального закона от 22.12.2020 N 438-ФЗ)
(см. текст в предыдущей редакции)
6) Для проведения военно-врачебной эксперти
При обработке персональных данных медицинская организация обязана принимать все необходимые правовые, организационные и технические меры для защиты данных от неправомерных действий.
Общие требования к обеспечению безопасности персональных данных изложены в статьях 18.1 и 19 Федерального закона «О персональных данных» от 27.07.2006 №152-ФЗ.
Конкретный состав и содержание мер, а также особенности их реализации указаны в Постановлении Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее – Постановление Правительства №1119) и в Приказе ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Приказ ФСТЭК России №21).
Медицинская организация должна осуществлять следующие меры:
1) Назначить ответственное лицо за организацию обработки персональных данных на основании приказа руководителя;
2) Разработать и утвердить «Политику в отношении обработки персональных данных» (далее – Политика) на основании приказа руководителя. Политика должна включать порядок обработки, защиты, способы и цели обработки персональных данных пациентов, а также быть общедоступной;
3) Разработать локальные акты, регулирующие доступ к персональным данным, их хранение и ответственность. Эти документы могут выражаться в виде инструкций, приказов или регламентов и должны быть подписаны сотрудниками, непосредственно участвующими в обработке персональных данных;
4) Организовать внутренний контроль и/или аудит соответ
В рамках обеспечения безопасности персональных данных в медицине предусмотрено ограничение доступа третьих лиц к конфиденциальной информации. Например, доступ к данным на бумажных носителях ограничивается путем их хранения в запираемых шкафах или сейфах.
Обработку персональных данных в информационной системе осуществляет медицинская организация или лицо, действующее по поручению такой организации, с соблюдением требований законодательства Российской Федерации.
Для обеспечения безопасности персональных данных могут быть привлечены юридические лица или индивидуальные предприниматели, имеющие соответствующую лицензию на техническую защиту конфиденциальной информации, на основе договорных отношений.
Конфиденциальность в медицине: Защита личных данных пациентов и соблюдение прав на приватность
Пациент имеет право на защиту информации, относящейся к его врачебной тайне, включая его персональные данные. Согласно пп. 7 п. 5 ст. 19 ФЗ от 21.11.2011 N 323-ФЗ (ред. от 26.07.2023), врачебная тайна включает сведения о факте обращения за медпомощью, состоянии здоровья, диагнозе и другие данные, полученные в ходе медобследования и лечения пациента.
Важно отметить, что не все сведения, связанные с медициной, автоматически являются врачебной тайной. Например, сведения о лекарственных препаратах, назначенных пациенту, могут раскрывать его состояние здоровья, но не относятся к врачебной тайне, так как доступ к такой информации возможен в аптеке.
Охраняются только те сведения, которые могут быть идентифицированы с определенным лицом или группой лиц.
Сведения, составляющие врачебную тайну, относятся к категории персональных данных, то есть любая информация, которая может быть прямо или косвенно связана с определенным физическим лицом (субъектом персональных данных).
Соблюдение медицинской тайны является важным этическим обязательством для всех медицинских работников, а разглашение такой информации может рассматриваться как профессиональная неадекватность.
В обязанности медицинского персонала входит сохранение врачебной тайны, включая лечащих врачей, специалистов и персонал медицинских учреждений, а также должностных лиц, получивших информацию о пациенте в результате официального запроса.
Согласно ст. 13 ФЗ от 21.11.2011 N 323-ФЗ (ред. от 26.07.2023), разглашение информации в ходе медицинского обслуживания не является нарушением врачебной тайны.
Например, врач может передавать информацию о пациенте своему руководству без предварительного согласия пациента, если это необходимо для обеспечения результатов лечения.
Однако если такая информация раскрывается не для оказания медицинской помощи, например, при обсуждении с коллегами или в общении с непрофессионалами, это может быть признано нарушением статьи 73 Основ охраны здоровья.
Среди примеров нарушения врачебной тайны можно выделить:
- съемка медицинским работником палаты, в которой находятся две пациентки без сознания, и публикация фотографий в социальной сети;
- передача информации медицинским работником лицу, занимающемуся ритуальными услугами, о погибших или находящихся в опасном состоянии гражданах;
- отправка в приемную Президента РФ обращения с данными о пациентах, их состоянии, диагнозах, результатов медицинских исследований и лечения, приложив копии медицинских документов;
- официальное обращение врача с указанием болезни в вышестоящее руководство пациента.
Работа с персональными данными пациентов: особенности и требования
Каждый день медицинские учреждения обрабатывают и хранят личные данные своих пациентов. В этой статье мы расскажем, как правильно организовать работу с персональными данными, чтобы защитить пациентов от утечек информации и себя — от штрафов со стороны Роскомнадзора.
Персональные данные и врачебная тайна
Под персональными данными понимаются информация, позволяющая идентифицировать человека, например, ФИО, номер паспорта, адрес прожив
Сотрудничество с квалифицированными юристами из «Консалтинг Онлайн», специализирующимися на вопросах обработки, хранения и передачи персональных данных, обеспечивает беспроблемную работу медицинских учреждений, минимизируя риски проверок со стороны контролирующих органов.
Получите профессиональную консультацию и готовые «дорожные карты» с четким алгоритмом действий для вашего бизнеса — перейдите по ссылке.
Соблюдение законодательства о персональных данных: избегайте штрафов
Бесплатная памятка для юридических лиц
Получите бесплатную памятку по соблюдению законодательства о персональных данных!
Оставьте ваш e-mail, чтобы мы могли выслать памятку:
Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: LjN8KApQu
- #здравоохранение
- #медицинская деятельность
- #персональные данные
- #защита персональных данных
- #обработка персональных данных
- #152-ФЗ
- #согласие на обработку персональных данных
- #ЕГИСЗ
- #консалтинг онлайн
Как обеспечить защиту медицинских данных?
Медицинские организации обрабатывают значительные объемы персональных данных, которые являются конфиденциальными и охраняются законодательством. Утечки таких данных могут нанести серьезный ущерб пациентам и учреждениям.
Учитывая строгие требования к защите персональных данных и регулярные проверки со стороны регулирующих органов, медицинским учреждениям необходимо активно использовать автоматизированные системы для обеспечения безопасности информации.
Типы данных в медицинских учреждениях:
Персональные данные пациентов: ФИО, адреса, контактная информация, данные медицинского полиса и другие. Эти данные часто подвержены риску утечек.
Медицинская тайна: информация о состоянии здоровья, диагнозы, результаты лечения.
Коммерческая тайна: клиентская база, планы развития, методология лечения и исследования.
Статистическая информация: данные из медицинских карт, информация о персонале и бюджетных средствах.
Другие служебные данные: результаты проверок по исполнению требований по работе и обязанностям.
Ответственность за утечку данных:
Согласно законодательству, нарушители могут быть наказаны административно, гражданско-правовыми санкциями, включая штрафы и компенсации убытков.
- Уголовное наказание может включать в себя штраф от 100 000 до 300 000 рублей, принудительные работы на срок до 4 лет или арест до 6 месяцев с отзывом права занимать определённые должности. В особо тяжких случаях может быть назначено лишение свободы до 4 лет, а также ограничение права заниматься профессиональной деятельностью на период от 2 до 5 лет (согласно статье 137 УК РФ).
Методы защиты медицинских данных
- Необходимо разработать чёткий регламент работы с медицинскими данными. Важно выделить критически важную конфиденциальную информацию в отдельную категорию, разработать правила её обработки и хранения, а также внедрить контроль за выполнением этих правил.
- Следует вести учёт носителей информации и ограничивать доступ к ним. Эффективным решением здесь является внедрение ролевой модели управления доступом с минимальными привилегиями.
- Работников необходимо обучать и предоставлять памятки о персональной ответственности за неразглашение конфиденциальной информации.
- Следует внедрить инструменты контроля и мониторинга информации в организации, включая системы DLP, которые способны отслеживать критические события в коммуникациях и действиях пользователей, а также выявлять сотрудников, инициирующих нарушения. Рекомендуется дополнить стек технологий защиты медицинских данных решениями IdM, MFA, DCAP, DAM для всестороннего покрытия информационной структуры организации и своевременного выявления инцидентов безопасности.
Защита медицинских данных – прямая обязанность организаций, обрабатывающих персональные данные пациентов и врачебную тайну. Важное значение в обеспечении информационной безопасности имеет использование автоматизированных инструментов контроля активности персонала и отслеживания утечек информации. Например, Solar Dozor позволяет эффективно контролировать коммуникации в организации, выявлять рискованные группы и ситуации, несоответствующие политикам безопасности. Регулярный автоматизированный мониторинг использования конфиденциальной информации – ключевой шаг к снижению рисков, связанных с медицинскими данными.
Узнайте больше о наших возможностях
Узнайте больше о наших возможностях
Конфиденциальность в медицине: Защита персональных данных пациентов и соблюдение прав на конфиденциальность
Статья 13. Соблюдение врачебной тайны
1. Информация о посещении гражданином медицинских учреждений, его состоянии здоровья и диагнозе, а также другие данные, полученные при его обследовании и лечении, являются врачебной тайной.
2. Разглашение информации, составляющей врачебную тайну, запрещено лицам, которые узнали её в процессе выполнения трудовых, должностных, служебных и иных обязанностей, включая случаи, предусмотренные пунктами 3 и 4 данной статьи.
3. Разглашение информации, составляющей врачебную тайну, другим лицам, включая должностные лица, для целей медицинского обследования и лечения пациента, научных исследований, публикации в научных изданиях, использования в учебном процессе и других целях, разрешается только при письменном согласии гражданина или его законного представителя. Согласие на разглашение информации, составляющей врачебную тайну, может быть дано также в рамках информированного добровольного согласия на медицинское вмешательство.
(часть 3 в редакции Федерального закона от 02.07.2021 N 315-ФЗ)
(см. текст в предыдущей редакции)
3.1. После смерти гражданина информация, составляющая врачебную тайну, может быть разглашена супруге (супругу), близким родственникам (детям, родителям, усыновленным, усыновителям, родным братьям и сестрам, внукам, дедушкам, бабушкам) или другим лицам, указанным гражданином или его законным представителем, если нет запрета на разглашение информации, составляющей врачебную тайну.
(часть 3.1 введена Федеральным законом от 02.07.2021 N 315-ФЗ)
4. Предоставление информации, составляющей врачебную тайну, без согласия гражданина или его законного представителя допускается в следующих случаях:
1) для проведения медицинского обследования и лечения гражданина, неспособного выразить свою волю в результате своего состояния, с учетом положений пункта 1 части 9 статьи 20 данного Федерального закона;
2) при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
3) по запросу органов дознания и следствия, суда в связи с проведением расследования или судебного разбирательства, по запросу органов прокуратуры в связи с осуществлением ими прокурорского надзора, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и контролем за поведением ос
4) Если медицинская помощь предоставляется несовершеннолетнему в соответствии с пунктом 2 части 2 статьи 20 Федерального закона, а также несовершеннолетнему, который не достиг возраста, указанного в части 2 статьи 54 этого Федерального закона, необходимо уведомить одного из его родителей или иного законного представителя;
5) Для информирования органов внутренних дел:
а) о поступлении пациента, по поводу которого есть основания полагать, что его здоровью нанесен вред в результате противоправных действий;
б) о поступлении пациента, который по состоянию здоровья, возрасту или другим причинам не может сообщить данные о своей личности;
в) о смерти пациента, личность которого не установлена;
(п. 5 в ред. Федерального закона от 22.12.2020 N 438-ФЗ)
(см. текст в предыдущей редакции)
6) Для проведения военно-врачебной эксперти
При обработке персональных данных медицинская организация обязана принимать все необходимые правовые, организационные и технические меры для защиты данных от неправомерных действий.
Общие требования к обеспечению безопасности персональных данных изложены в статьях 18.1 и 19 Федерального закона «О персональных данных» от 27.07.2006 №152-ФЗ.
Конкретный состав и содержание мер, а также особенности их реализации указаны в Постановлении Правительства РФ от 01.11.2012 №1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее – Постановление Правительства №1119) и в Приказе ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» (далее – Приказ ФСТЭК России №21).
Медицинская организация должна осуществлять следующие меры:
1) Назначить ответственное лицо за организацию обработки персональных данных на основании приказа руководителя;
2) Разработать и утвердить «Политику в отношении обработки персональных данных» (далее – Политика) на основании приказа руководителя. Политика должна включать порядок обработки, защиты, способы и цели обработки персональных данных пациентов, а также быть общедоступной;
3) Разработать локальные акты, регулирующие доступ к персональным данным, их хранение и ответственность. Эти документы могут выражаться в виде инструкций, приказов или регламентов и должны быть подписаны сотрудниками, непосредственно участвующими в обработке персональных данных;
4) Организовать внутренний контроль и/или аудит соответ
В рамках обеспечения безопасности персональных данных в медицине предусмотрено ограничение доступа третьих лиц к конфиденциальной информации. Например, доступ к данным на бумажных носителях ограничивается путем их хранения в запираемых шкафах или сейфах.
Обработку персональных данных в информационной системе осуществляет медицинская организация или лицо, действующее по поручению такой организации, с соблюдением требований законодательства Российской Федерации.
Для обеспечения безопасности персональных данных могут быть привлечены юридические лица или индивидуальные предприниматели, имеющие соответствующую лицензию на техническую защиту конфиденциальной информации, на основе договорных отношений.
Конфиденциальность в медицине: Защита личных данных пациентов и соблюдение прав на приватность
Пациент имеет право на защиту информации, относящейся к его врачебной тайне, включая его персональные данные. Согласно пп. 7 п. 5 ст. 19 ФЗ от 21.11.2011 N 323-ФЗ (ред. от 26.07.2023), врачебная тайна включает сведения о факте обращения за медпомощью, состоянии здоровья, диагнозе и другие данные, полученные в ходе медобследования и лечения пациента.
Важно отметить, что не все сведения, связанные с медициной, автоматически являются врачебной тайной. Например, сведения о лекарственных препаратах, назначенных пациенту, могут раскрывать его состояние здоровья, но не относятся к врачебной тайне, так как доступ к такой информации возможен в аптеке.
Охраняются только те сведения, которые могут быть идентифицированы с определенным лицом или группой лиц.
Сведения, составляющие врачебную тайну, относятся к категории персональных данных, то есть любая информация, которая может быть прямо или косвенно связана с определенным физическим лицом (субъектом персональных данных).
Соблюдение медицинской тайны является важным этическим обязательством для всех медицинских работников, а разглашение такой информации может рассматриваться как профессиональная неадекватность.
В обязанности медицинского персонала входит сохранение врачебной тайны, включая лечащих врачей, специалистов и персонал медицинских учреждений, а также должностных лиц, получивших информацию о пациенте в результате официального запроса.
Согласно ст. 13 ФЗ от 21.11.2011 N 323-ФЗ (ред. от 26.07.2023), разглашение информации в ходе медицинского обслуживания не является нарушением врачебной тайны.
Например, врач может передавать информацию о пациенте своему руководству без предварительного согласия пациента, если это необходимо для обеспечения результатов лечения.
Однако если такая информация раскрывается не для оказания медицинской помощи, например, при обсуждении с коллегами или в общении с непрофессионалами, это может быть признано нарушением статьи 73 Основ охраны здоровья.
Среди примеров нарушения врачебной тайны можно выделить:
- съемка медицинским работником палаты, в которой находятся две пациентки без сознания, и публикация фотографий в социальной сети;
- передача информации медицинским работником лицу, занимающемуся ритуальными услугами, о погибших или находящихся в опасном состоянии гражданах;
- отправка в приемную Президента РФ обращения с данными о пациентах, их состоянии, диагнозах, результатов медицинских исследований и лечения, приложив копии медицинских документов;
- официальное обращение врача с указанием болезни в вышестоящее руководство пациента.
Работа с персональными данными пациентов: особенности и требования
Каждый день медицинские учреждения обрабатывают и хранят личные данные своих пациентов. В этой статье мы расскажем, как правильно организовать работу с персональными данными, чтобы защитить пациентов от утечек информации и себя — от штрафов со стороны Роскомнадзора.
Персональные данные и врачебная тайна
Под персональными данными понимаются информация, позволяющая идентифицировать человека, например, ФИО, номер паспорта, адрес прожив
Сотрудничество с квалифицированными юристами из «Консалтинг Онлайн», специализирующимися на вопросах обработки, хранения и передачи персональных данных, обеспечивает беспроблемную работу медицинских учреждений, минимизируя риски проверок со стороны контролирующих органов.
Получите профессиональную консультацию и готовые «дорожные карты» с четким алгоритмом действий для вашего бизнеса — перейдите по ссылке.
Соблюдение законодательства о персональных данных: избегайте штрафов
Бесплатная памятка для юридических лиц
Получите бесплатную памятку по соблюдению законодательства о персональных данных!
Оставьте ваш e-mail, чтобы мы могли выслать памятку:
Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: LjN8KApQu
- #здравоохранение
- #медицинская деятельность
- #персональные данные
- #защита персональных данных
- #обработка персональных данных
- #152-ФЗ
- #согласие на обработку персональных данных
- #ЕГИСЗ
- #консалтинг онлайн
Как обеспечить защиту медицинских данных?
Медицинские организации обрабатывают значительные объемы персональных данных, которые являются конфиденциальными и охраняются законодательством. Утечки таких данных могут нанести серьезный ущерб пациентам и учреждениям.
Учитывая строгие требования к защите персональных данных и регулярные проверки со стороны регулирующих органов, медицинским учреждениям необходимо активно использовать автоматизированные системы для обеспечения безопасности информации.
Типы данных в медицинских учреждениях:
Персональные данные пациентов: ФИО, адреса, контактная информация, данные медицинского полиса и другие. Эти данные часто подвержены риску утечек.
Медицинская тайна: информация о состоянии здоровья, диагнозы, результаты лечения.
Коммерческая тайна: клиентская база, планы развития, методология лечения и исследования.
Статистическая информация: данные из медицинских карт, информация о персонале и бюджетных средствах.
Другие служебные данные: результаты проверок по исполнению требований по работе и обязанностям.
Ответственность за утечку данных:
Согласно законодательству, нарушители могут быть наказаны административно, гражданско-правовыми санкциями, включая штрафы и компенсации убытков.
- Уголовное наказание может включать в себя штраф от 100 000 до 300 000 рублей, принудительные работы на срок до 4 лет или арест до 6 месяцев с отзывом права занимать определённые должности. В особо тяжких случаях может быть назначено лишение свободы до 4 лет, а также ограничение права заниматься профессиональной деятельностью на период от 2 до 5 лет (согласно статье 137 УК РФ).
Методы защиты медицинских данных
- Необходимо разработать чёткий регламент работы с медицинскими данными. Важно выделить критически важную конфиденциальную информацию в отдельную категорию, разработать правила её обработки и хранения, а также внедрить контроль за выполнением этих правил.
- Следует вести учёт носителей информации и ограничивать доступ к ним. Эффективным решением здесь является внедрение ролевой модели управления доступом с минимальными привилегиями.
- Работников необходимо обучать и предоставлять памятки о персональной ответственности за неразглашение конфиденциальной информации.
- Следует внедрить инструменты контроля и мониторинга информации в организации, включая системы DLP, которые способны отслеживать критические события в коммуникациях и действиях пользователей, а также выявлять сотрудников, инициирующих нарушения. Рекомендуется дополнить стек технологий защиты медицинских данных решениями IdM, MFA, DCAP, DAM для всестороннего покрытия информационной структуры организации и своевременного выявления инцидентов безопасности.
Защита медицинских данных – прямая обязанность организаций, обрабатывающих персональные данные пациентов и врачебную тайну. Важное значение в обеспечении информационной безопасности имеет использование автоматизированных инструментов контроля активности персонала и отслеживания утечек информации. Например, Solar Dozor позволяет эффективно контролировать коммуникации в организации, выявлять рискованные группы и ситуации, несоответствующие политикам безопасности. Регулярный автоматизированный мониторинг использования конфиденциальной информации – ключевой шаг к снижению рисков, связанных с медицинскими данными.
Узнайте больше о наших возможностях
Узнайте больше о наших возможностях