Когда клиника считает это “простыми клиентскими данными” — РИСК УЖЕ НАЧАЛСЯ 🚨
Одна из самых недооцененных privacy-ошибок в фарме и медицине выглядит буднично.
Пациент оставляет ФИО, телефон, e-mail, выбирает врача, а в поле «Комментарий» пишет жалобы или прикладывает фото направления или анализа.
Дальше все это уходит в облачную CRM, где доступ к данным есть у регистратуры, колл-центра, а иногда и у подрядчика по CRM и техподдержки.
Через ту же систему ведутся переносы визитов, претензии, статусы исследований, ответы пациентам и внутренняя коммуникация. Отдельные сотрудники пересылают результаты по обычной почте или в мессенджерах.
Формально бизнес называет это «оказанием медицинских услуг». Но на практике именно здесь и начинается одна из самых недооцененных privacy-ошибок для фарм-компаний.
Потому что вместе с ФЗ от 21.11.2011 N 323-ФЗ здесь уже включается и 152-ФЗ.
❗️Сведения о состоянии здоровья — это специальные категории персональных данных.
Роскомнадзор в памятке для медорганизаций прямо указывает: обработка таких данных без согласия допустима в медицинских целях, для диагностики и оказания медицинских услуг, если ее ведут лица, обязанные сохранять врачебную тайну.
ГДЕ ОСНОВНЫЕ ТОЧКИ РИСКА?
1️⃣ Смешение целей
Запись на прием, оказание медпомощи, поддержка пациента, аналитика и маркетинг не должны жить как один единый процесс.
При этом клиники до сих пор нередко прячут согласие в общую оферту или форму записи, хотя закон требует его отдельного оформления (ч. 1 ст. 9 152-ФЗ).
Ч. 2 ст. 5 152-ФЗ требует заранее определенных и законных целей, а несовместимые цели нельзя объединять.
2️⃣ Хранение персональных данных в БД организации
Важно смотреть, какие вычислительные мощности использует оператор для обработки персональных данных, кто имеет доступ к ним в рамках конкретных процессов и какую роль играют внешние специалисты по технической поддержке.
Здесь уже встает вопрос поручения на обработку персональных данных.
3️⃣ Источники получения персональных данных
Нужно понимать, с какого момента вообще начинается сбор персональных данных и обеспечено ли правовое основание для обработки в рамках конкретного процесса.
Это касается не только обработки персональных данных работников, но и самих врачей, данные которым могут передаваться медицинским представителем фарм-компаний.
С чего стоит начать:
👉разграничение процессов;
👉определение правовых оснований для обработки персональных данных;
👉определение объема обрабатываемых персональных данных;
👉определение ответственных за обработку ПДн;
👉определение срока обработки персональных данных;
👉определение того, куда осуществляется передача ПДн.
💭 Вывод следующий:
Для фарм-компаний безопаснее исходить из презумпции повышенной чувствительности данных.
Если внутри процесса все до сих пор называется просто работой с пациентом, это уже повод проверить, не смешались ли у вас разные цели, доступы и основания обработки в один рискованный контур.
😎
