Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). К ней относятся (из формы уведомления Роскомнадзора): фамилия, имя, отчество, год рождения, месяц рождения, дата рождения, место рождения, семейное положение, социальное положение, имущественное положение, доходы, пол, адрес электронной почты, адрес места жительства, адрес регистрации, номер телефона, СНИЛС, ИНН, гражданство, данные документа, удостоверяющего личность, данные водительского удостоверения, данные документа, удостоверяющего личность за пределами Российской Федерации, данные документа, содержащиеся в свидетельстве о рождении, реквизиты банковской карты, номер расчетного счета, номер лицевого счета, профессия, должность, сведения о трудовой деятельности (в том числе стаж работы, данные о трудовой занятости на текущее время с указанием наименования и расчетного счета организации), отношение к воинской обязанности, сведения о воинском учете, иные персональные данные, сведения, собираемые посредством метрических программ, сведения об образовании.
Также существуют специальные персональные данные: сведения о состоянии здоровья, национальная принадлежность, политические взгляды, религиозные или философские убеждения, сведения о судимости. Отдельно указаны и биометрические персональные данные: данные изображения лица, полученные с помощью фото- видео устройств, позволяющие установить личность субъекта персональных данных, данные голоса человека, изображение папиллярных узоров пальцев рук, иные биометрические персональные данные.
Впечатляющий перечень, неправда ли?
Защита персональных данных – важный вопрос в работе любого бизнеса. Все мы (и наша компания в том числе) работаем с персональными данными (как сотрудников, так и клиентов). Ранее мы неоднократно касались этих вопросов, например, в этой статье.
Ситуация с медицинскими организациями осложняется тем, что в виду специфики своей деятельности им приходится обрабатывать специальные персональные данные в виде сведений о здоровье.
Обработка специальных персональных данных ведет к повышенному контролю со стороны Роскомнадзора и автоматически приводит к установлению группы «А» тяжести потенциальных негативных последствий.
Также для оператора устанавливается группа вероятности, в случае отсутствия ранее выявленных нарушений – устанавливается группа «4».
В совокупности категория риска устанавливается исходя из сочетания этих двух групп. В рассматриваемом примере она определяется как категория умеренного риска, что устанавливает периодичность обязательного проведения проверок не реже 1 раза в 6 лет. Но категория может быть повышена в случае привлечения к ответственности (даже в форме предписания), что приводит к сокращению сроков между проверками до 1 раза в 2 года.
С целом работа с персональными данными для клиник регламентирована Федеральным законом «О персональных данных» от 27.07.2006 N 152-ФЗ, Федеральным законом «Об основах охраны здоровья граждан в Российской Федерации» от 21.11.2011 N 323-ФЗ и Постановлением Правительства РФ от 01.11.2012 N 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных«. Дополнительно существует очень большое количество законов, кодексов и приказов, также регламентирующих эти вопросы: а это и передача данных в ЕГИСЗ, и ведение бухгалтерского учета, и организация работы сайта. При этом необходимо в том числе учитывать фактическое местоположение серверов с Ваши сайтом (если они находятся не в РФ, то происходит трансграничная передача данных, о чем мы также писали).
Пока с теорией закончим и перейдем к практике. Первая стадия – инвентаризация бизнес-процессов клиники, определение круга сотрудников и перечня необходимых им персональных данных.
- Определяем круг субъектов персональных данных (сотрудники, пациенты, поставщики и иные контрагенты).
- Для каждого круга определяем реперные точки контроля, ответственного сотрудника на каждом этапе. Например: регистрация нового пациента – администратор, осуществление лечения – лечащий врач, возврат денежных средств или начисление зарплаты — бухгалтерия.
- Определение необходимых персональных данных для выполнения трудовых функций ответственного сотрудника. Например: врач – лечение: ФИО, возраст, сведения о здоровье, пол пациента.
- Определение вида работы с данными: передача вне клиники (например, в РЭМД, ИЭМК, или для рекламных рассылок на аутсорсинг, использование фотографий для создания рекламных материалов и их публикация в социальных сетях) или обработка внутри (ведение медицинской карты в бумажном варианте).
- Определение типа актуальных угроз безопасности.
Вторая стадия – подготовка согласий субъектов, формирование перечней данных. О видах согласий на обработку персональных данных мы уже писали в этой статье. Необходимо наполнить каждое из них соответствующими перечнями (что, как и зачем мы обрабатываем).
Третья стадия – определение необходимых мер защиты в соответствии с требованиями Приказа ФСБ №378 от 10.07.2014 и Приказа Федеральной службы по техническому и экспортному контролю №21 от 18.02.2013, их реализация как документально, так и материально-технически.
Четвертая стадия – подготовка внутренних приказов и положений, в том числе исходя из типа актуальных угроз, основными из них являются:
- Правила обработки персональных данных без использования средств автоматизации (бумажные медицинские карты).
- Правила обработки персональных данных с использованием средств автоматизации (все таблицы Excel, медицинские информационные системы, CRM).
- Политика об обработке персональных данных и мерах по выявлению и предупреждению нарушений.
- Приказ о назначении ответственного за организацию обработки персональных данных.
Все эти правила необходимо донести до сведения сотрудников, провести первичные инструктажи.
Окончанием данного процесса является подготовка и направление в Роскомнадзор уведомления о намерении осуществлять обработку персональных данных.
С данным уведомлением все достаточно просто: вносятся данные об операторе, ответственном лице, перечисляются все виды процессов работы с персональными данными (исполнение обязательств по договорам, оказание медицинских услуг, бухгалтерский учет, налоговая отчетность и иные), по каждому процессу указывается вид персональных данных, подлежащих обработке, сами виды обработки, указываются осуществленные мероприятия по обеспечению сохранности персональных данных исходя из типа актуальных угроз в соответствии с требованиями Приказа ФСБ №378 от 10.07.2014 и Приказа Федеральной службы по техническому и экспортному контролю №21 от 18.02.2013 (включаются в закрытую часть реестра). Данное уведомление можно подать 3 способами: отправив по почте в бумажном виде, подписав УКЭП или пописав ЭЦП Госуслуг. Срок рассмотрения одинаковый – 30 суток.
В случае верного заполнения уведомления результатом будет приказ Роскомнадзора о включении Вас в реестр операторов персональных данных с предоставлением регистрационного номера.
Вместе с этим, как и ранее, мы подчеркиваем, что результатом должна стать стройная и понятная система работы с персональными данными, разграничение прав доступа — документы должны работать. Также стоит помнить, что данные в реестре операторов персональных данных, также, как и данные ФРМО и ФРМР, необходимо поддерживать в актуальном состоянии (например, необходимо извещать о смене лица, ответственного за организацию обработки персональных данных).
Основные проблемы, с которыми мы сталкиваемся при проведении аудитов:
- Документы есть, но фактически не используются.
- Согласия на обработку персональных данных отсутствуют и включаются в состав договоров платных медицинских услуг.
- Согласия на распространение персональных данных включаются в состав согласий на обработку персональных данных
- Документы отсутствуют полностью.
- 50% клиник не зарегистрированы операторами персональных данных.
- Нарушения в трансграничной передаче персональных данных.
- Существуют документы по обработке персональных данных, но по информационной безопасности отсутствуют.
- Считанные единицы определяют свою категорию риска.
В своей работе при проведении аудитов работы с персональными данными мы не продаем шаблонные решения, а разрабатываем Ваши документы индивидуально, оказываем методическую поддержку и помогаем выстроить систему, учитывающую максимальное количество факторов для полного удовлетворения Ваших потребностей.
В сфере медицинских услуг защита персональных данных пациентов не просто юридическое требование, но и важный аспект доверия между клиентом и клиникой. Наша компания, Мафдет, имеет опыт создания надежных систем защиты данных, что доказывают наши успешные проекты со стоматологиями ООО «Стомика» и «Аполлония» (ООО «СВА ГРУПП»).
Мы гордимся тем, что смогли помочь этим медицинским учреждениям стать полноценными операторами персональных данных. Наша команда разработала и внедрила комплексную систему документации, которая учитывает все нюансы и особенности работы клиник. Мы обеспечили полное соответствие их деятельности требованиям Федерального закона «О персональных данных» и других регулирующих документов, что позволило нам внести ООО «Стомика» и ООО «СВА ГРУПП» в реестр операторов персональных данных без затруднений.
В результате нашей работы, клиники получили не только юридическую защищенность и соблюдение всех формальностей, но и уверенность в безопасности и конфиденциальности информации своих пациентов. Отзывы от руководства ООО «Стомика» и ООО «СВА ГРУПП», которые теперь гордо размещены на нашем обновленном сайте, свидетельствуют о высокой оценке нашей работы и их удовлетворенности достигнутыми результатами.
Мы ценим доверие, которое ООО «Стомика» и ООО «СВА ГРУПП» оказали нам, и рады видеть, как наши усилия помогают им расти и развиваться, сохраняя при этом безупречную репутацию и лояльность их клиентов. Это подтверждает нашу репутацию как надежного партнера в области юридической защиты персональных данных в медицинской сфере.
Приглашаем вас ознакомиться с полными текстами благодарностей и узнать больше о том, как мы можем помочь вашей клинике, на нашем сайте.
В заключение, мы настоятельно рекомендуем всем медицинским учреждениям уделить пристальное внимание управлению и защите персональных данных. В эпоху цифровизации, когда каждая деталь информации имеет значение, важно не только соблюдать законодательство, но и заслужить неизменное доверие пациентов.
Мы в Мафдет всегда готовы прийти к вам на помощь. Будь-то разработка правильной стратегии управления данными или подготовка необходимой документации, наша команда экспертов обладает знаниями и опытом, чтобы обеспечить вашу клинику максимальной защитой.
Мы предлагаем бесплатную первичную консультацию, чтобы начать путь к безупречной защите данных в вашей клинике. Не бойтесь обратиться за профессиональной поддержкой — вместе мы обеспечим целостность и безопасность вашего бизнеса и доверие ваших клиентов.
Мы можем оказать Вам услуги как лично, так и дистанционно.
С уважением,
Денис Власов