Защита персональных данных для медицинской клиники
Клиника обрабатывает сведения о здоровье пациентов — это специальная категория персональных данных с повышенными требованиями к защите. Разберём, что нужно медицинской организации по 152-ФЗ.
Знакомые ситуации
- •Ведём карты пациентов и диагнозы — это данные о здоровье с особым режимом.
- •Используем медицинскую информационную систему (МИС) — это ИСПДн.
- •Нужно совместить требования 152-ФЗ и врачебную тайну.
Что нужно по 152-ФЗ
Специальная категория ПДн
Данные о состоянии здоровья относятся к специальным категориям (статья 10 152-ФЗ). Письменное согласие нужно, если нет иного основания из части 2 статьи 10 — например, обработки в медико-профилактических целях, для диагностики и оказания медицинских услуг лицом, обязанным сохранять врачебную тайну (пункт 4 части 2 статьи 10).
Врачебная тайна
Помимо 152-ФЗ действует режим врачебной тайны (323-ФЗ): сведения о факте обращения и состоянии здоровья разглашать нельзя без согласия, кроме установленных законом случаев.
Уровень защищённости МИС
Медицинская информационная система — это ИСПДн; из-за специальных категорий данных уровень защищённости, как правило, выше (УЗ-2 или УЗ-3 в зависимости от масштаба и типа угроз).
Уведомление Роскомнадзора и политика
Подать уведомление об обработке ПДн и опубликовать политику обработки; отразить обработку специальных категорий.
Согласия пациентов
Оформить согласия на обработку ПДн и, где требуется, на медицинское вмешательство; для распространения данных — отдельное согласие.
Частые вопросы
Нужно ли письменное согласие пациента на обработку данных о здоровье?
По общему правилу да: данные о здоровье — специальная категория (статья 10 152-ФЗ). Есть исключения, например обработка в целях оказания медицинской помощи, когда обработку ведёт медицинский работник, обязанный сохранять врачебную тайну.
Какой уровень защищённости у медицинской информационной системы?
Обычно выше, чем у обычной ИСПДн, из-за обработки специальных категорий данных — как правило УЗ-2 или УЗ-3 в зависимости от числа субъектов и типа актуальных угроз. Точный уровень определяется по ПП-1119.
Подробнее в Базе знаний
Материал носит информационный характер и не заменяет индивидуальную оценку. Требования применяются с учётом целей обработки и особенностей организации.