В медицинских организациях все сведения о пациентах защищают от несанкционированного доступа. Для этого используют специальные программы, ведут строгий учет, а сотрудники обязаны сохранять конфиденциальность. Передача и хранение персональных данных происходит в соответствии с законом, чтобы исключить их утечку или неправомерное использование.
Предотвращение утечек личных данных
Для предотвращения утечек личных данных в медицинской сфере нужно наладить чёткую систему их защиты. Для этого важно выбрать сотрудника, который будет отвечать за сохранность данных, и оформить это официально. Этот специалист должен подготовить внутренние правила по обработке персональных данных. Кроме того, создаётся комиссия, оценивающая, насколько хорошо защищена информация, и предлагающая меры по её усилению. Ответственный работник также информирует Роскомнадзор о статусе медорганизации как обработчика персональных данных.
Внутренняя документация
Защита данных включает разработку внутренней документации: инструкции для сотрудников, регламенты по работе с личной информацией, приказы, журналы регистрации нарушений, учёт программного обеспечения и носителей данных, а также фиксирование обращений граждан. Важно создать соглашения о неразглашении, инструкции по использованию программ и Интернета, а также требования к обучению персонала.
Уведомление в Роскомнадзор
Перед тем как начать собирать личные сведения пациентов и сотрудников, медицинское учреждение обязано уведомить об этом Роскомнадзор. В будущем о любых изменениях в системе защиты персональных данных также сообщается в этот орган.
Медицинские организации обязаны уведомлять Роскомнадзор о работе с персональными данными по установленным формам (приказ от 28.10.2022 № 180). Ведомству нужно сообщать о начале, изменениях или завершении обработки данных, а также о передаче данных за границу. Это касается информации и о пациентах, и о сотрудниках.
Если в организации поменялся ответственный за обработку, изменились цели или меры защиты, или обновились другие сведения из ранее поданных уведомлений, нужно направить новое уведомление. Форма документа приводится в приложении № 2 к приказу. Информацию требуется подать не позже 15-го числа месяца после наступления изменений (ч. 7 ст. 22 закона № 152-ФЗ).
Чтобы избежать санкций, сотрудник, отвечающий за передачу данных в Роскомнадзор, обязан убедиться, что все уведомления соответствуют документам медучреждения по работе с персональными данными, опубликованным на сайте.
Роскомнадзор сверяет сведения из уведомлений о работе с персональными данными и их трансграничной пересылке с опубликованной политикой и мерами защиты клиники.
Несовпадения могут обнаружиться, если организация не указала все цели передачи данных или не уведомила о трансграничной отправке, хотя такие действия есть.
Правила обработки персональных данных на сайте медицинской клиники
На сайте медицинской организации обязательно должна быть размещена политика по обработке и защите персональных данных. Этот документ показывает, какие меры принимает клиника для сохранения конфиденциальности информации о пациентах. Если на сайте нет такой политики или она оформлена с ошибками, Роскомнадзор может наложить штраф до 60 000 рублей.
В политике нужно указать, как клиника собирает, использует и хранит персональные данные, а также кто отвечает за их безопасность. Важно регулярно проверять, чтобы содержание политики совпадало с уведомлениями, которые организация отправляет в Роскомнадзор, особенно если меняются цели обработки данных или происходит трансграничная передача информации.
Кроме того, на сайте должна быть размещена ссылка на текст согласия на обработку персональных данных. Если этого не сделать, медорганизация может получить штраф до 150 000 рублей. Обычно такая ссылка размещается рядом с формами для записи на прием, обратной связи или заполнения анкет.
С ноября 2023 года Роскомнадзор может начать проверку, если найдёт три или больше несоответствий между сайтом и поданными уведомлениями. Для предотвращения штрафов и проверок администратору сайта и ответственному за данные нужно следить за актуальностью всех сведений.
Также теперь согласие на обработку должно быть не только осознанным и конкретным, но и четко сформулированным, чтобы не возникло двусмысленности. Формы согласий следует обновить по новым требованиям, используя актуальные образцы документов.
Для уменьшения возможных рисков важно действовать по нескольким направлениям:
– создать и регулярно обновлять внутренние документы по работе с персональными данными, чтобы все правила реально применялись на практике;
– проводить обучение сотрудников — как очное, так и онлайн — чтобы все были в курсе последних требований и методов защиты персональных данных;
– внедрить постоянный внутренний контроль и проводить независимые проверки обработки данных;
– подготовить подробные инструкции для действий при утечках или других инцидентах, связанных с безопасностью информации.
Кроме того, рекомендуется проходить специальные курсы для медицинских организаций, учитывающие особенности отрасли.
Ежегодно обучение должны проходить все сотрудники, руководители и ответственные за работу с персональными данными.
Онлайн-курс Учебного центра МЕДИАТОР: Работа с персональными данными по 152-ФЗ
Старт обучения: каждый понедельник
– Обучение длится 14 дней. Вы проходите курс дистанционно, выбирая удобное время, совмещая с основной работой.
– По итогам выдается удостоверение о повышении квалификации, данные вносятся в ФИС ФРДО.
– Программа включает лекции, вебинары, инструктивные материалы и аналитические обзоры.
Курс предназначен для руководителей и специалистов, которым важно освоить современные требования к обработке и защите персональных данных в организациях. Вы разберетесь, как грамотно обращаться с персональными сведениями и оформлять необходимые документы, чтобы избежать крупных штрафов.