ГрамотаИБ ГрамотаИБ

Защита персональных данных для медицинской клиники

Клиника обрабатывает сведения о здоровье пациентов — это специальная категория персональных данных с повышенными требованиями к защите. Разберём, что нужно медицинской организации по 152-ФЗ.

Знакомые ситуации

  • Ведём карты пациентов и диагнозы — это данные о здоровье с особым режимом.
  • Используем медицинскую информационную систему (МИС) — это ИСПДн.
  • Нужно совместить требования 152-ФЗ и врачебную тайну.

Что нужно по 152-ФЗ

Специальная категория ПДн

Данные о состоянии здоровья относятся к специальным категориям (статья 10 152-ФЗ). Письменное согласие нужно, если нет иного основания из части 2 статьи 10 — например, обработки в медико-профилактических целях, для диагностики и оказания медицинских услуг лицом, обязанным сохранять врачебную тайну (пункт 4 части 2 статьи 10).

Врачебная тайна

Помимо 152-ФЗ действует режим врачебной тайны (323-ФЗ): сведения о факте обращения и состоянии здоровья разглашать нельзя без согласия, кроме установленных законом случаев.

Уровень защищённости МИС

Медицинская информационная система — это ИСПДн; из-за специальных категорий данных уровень защищённости, как правило, выше (УЗ-2 или УЗ-3 в зависимости от масштаба и типа угроз).

Уведомление Роскомнадзора и политика

Подать уведомление об обработке ПДн и опубликовать политику обработки; отразить обработку специальных категорий.

Согласия пациентов

Оформить согласия на обработку ПДн и, где требуется, на медицинское вмешательство; для распространения данных — отдельное согласие.

Частые вопросы

Нужно ли письменное согласие пациента на обработку данных о здоровье?

По общему правилу да: данные о здоровье — специальная категория (статья 10 152-ФЗ). Есть исключения, например обработка в целях оказания медицинской помощи, когда обработку ведёт медицинский работник, обязанный сохранять врачебную тайну.

Какой уровень защищённости у медицинской информационной системы?

Обычно выше, чем у обычной ИСПДн, из-за обработки специальных категорий данных — как правило УЗ-2 или УЗ-3 в зависимости от числа субъектов и типа актуальных угроз. Точный уровень определяется по ПП-1119.

Подробнее в Базе знаний

Материал носит информационный характер и не заменяет индивидуальную оценку. Требования применяются с учётом целей обработки и особенностей организации.