ВЕРСИЯ ДЛЯ СЛАБОВИДЯЩИХ
x

ВЕРСИЯ ДЛЯ СЛАБОВИДЯЩИХ

Для увеличения размера текста, зажмите
клавишу Ctrl и покрутите колесико мышки от себя

Ctrl + 0 - возврат к нормальному отображению сайта

Краевое государственное бюджетное учреждение здравоохранения
Алтайский край, г.Барнаул, ул.Ляпидевского, 1
ВОПРОС ОТВЕТ
Персональные данные – шутки в сторону

Вступившие в силу с 1 июля поправки в КоАП расширили перечень оснований для привлечения к административной ответственности и существенно увеличили штрафы за незаконную обработку персональных данных. Но, как сказал классик, строгость российских законов смягчается необязательностью их исполнения, чем активно пользуются мошенники. Их схемы эксплуатируют один из основных страхов человека – болезни и смерти, а потому медицинским работникам, которые владеют информацией в этой области, надо быть особенно бдительными.

 

В Территориальный орган Росздравнадзора по Ростовской области поступило письменное обращение от жительницы донской столицы. Спустя пять часов после сдачи крови в поликлинике, на мобильный телефон пациентки позвонила женщина, которая назвалась заведующей лабораторией и сообщила о выявленном в ходе исследования страшном заболевании. Звонившая сообщила, что счет идет на минуты – необходимо срочно начинать лечение. Напуганной до смерти пациентке предложили перевести на счет 150 тыс. рублей в качестве предоплаты за лекарственное средство, которое курьер привезет ей тотчас же. Деньги были переведены, однако никаких таблеток никто не привез.

Росздравнадзор направил жалобу потерпевшей в Управление Роскомнадзора и МВД Ростова-на-Дону для принятия мер. Однако прошло несколько месяцев, а ответа ни от одной из организации заявительнице так и не поступило.

«Сейчас происходит цифровая революция, а любое новшество требует времени для обкатки, - комментирует ситуацию порталу Medvestnik.ru директор Департамента информационных технологий и связи Минздрава России Елена Бойко. - Современные технологии будут в большей степени позволять фиксировать вход в информационную систему здравоохранения каждым человеком, нежели когда документация велась в бумажном виде, и отслеживать все действия, совершенные там. Но, безусловно, пока идет режим становления, происходят такие негативные моменты, как в Ростове-на-Дону. С этим необходимо бороться».

«У нас недавно принят закон, что идентификация человека при продаже СИМ-карты происходит по паспорту, то есть требования ужесточены, - добавляет Владимир Авербах. - Сейчас операторам связи будет дан доступ – законодательно он уже предоставлен, остается проработать технические моменты – чтобы они могли проверять все паспортные данные человека в режиме онлайн при продаже СИМ-карты. Это значит, что отследить звонившего якобы из больницы станет элементарно».

С точки зрения директора по особым поручениям госкорпорации «Ростех» Василия Бровко, аферисты промышляли и до появления «цифры», и им ничего не мешает придумать, как обмануть доверчивых граждан, используя аналоговые данные. «Конечно, надо меньше верить в такие звонки, - советует он. - Никогда государственная или муниципальная поликлиника или больница не позвонит и не скажет: "Срочно переведите кому-то деньги". Государство попросту не умеет брать деньги с граждан таким образом».

Пациент защищен, врач – не очень

Но вернемся к личной информации. «Я часто слышу от руководителей организаций: "Да мы не обрабатываем персональные данные, мы даже форму обратной связи с нашего сайта убрали", - рассказывает руководитель компании P-DATA, специализирующейся на защите персональных данных, член Экспертного совета по предпринимательству Госдумы РФ Александр Ильин. – Это одно из самых распространенных заблуждений. Вы являетесь оператором ПД, даже если вы не подали уведомление в Роскомнадзор».

 

В подтверждение этих слов достаточно зайти на сайт вышеназванного ведомства и ознакомиться с реестром операторов ПД. На конец сентября в нем зарегистрированы свыше 398 тыс. организаций, из них, согласно поисковику, больниц - 36, поликлиник - 46, клиник – 86 (капля в море, если учесть, что общая численность медицинских предприятий в России оценивается на уровне 30 тыс.).

Все ЛПУ без исключения являются операторами персональных данных, причем они обрабатывают ПД не только пациентов, но и медицинских работников – в рамках трудовых соглашений.

При этом режим защиты ПД медработников отличен от того, как охраняются данные пациентов. Согласно законам «Об ОМС» и «Об основах охраны здоровья граждан в Российской Федерации» персональные данные медицинских работников лечебно-профилактических учреждений подлежат обязательному раскрытию. Таким образом законодатель учел необходимость получения информации для реализации прав граждан на выбор лечащего врача. Как только в фойе поликлиники или на сайте клиники появляется перечень фамилий-имен-отчеств работающих там врачей, с указанием специальности и категории, научной степени, все эти данные переходят в категорию опубличенной, общедоступной информации, которая не подлежит защите законом о ПД. 

«После публикации на официальном сайте медицинской организации персональные данные становятся общедоступными и могут обрабатываться оператором, - поясняет руководитель портала отзывов о работе врачей и ЛПУ «ПроДокторов» Сергей Федосов. - На вышеуказанных законах основывается деятельность нашего сервиса c ПД врачей. От пациентов - авторов отзывов мы получаем согласие на обработку ПД. При этом отзывы на портале подписываются или номером телефона со скрытыми последними цифрами, или именем из соцсети с первой буквой фамилии. Если автор захочет, то может не публиковать свои данные вовсе, в этом случае рядом с отзывом будет написано, что автор скрыл их».

Сергей Федосов признает, что в практике портала были случаи, когда в ответе на отзыв пациента врач указывал какую-либо информацию, благодаря которой можно было идентифицировать его визави. Такие сведения из ответа всегда удалялись модератором, чтобы не нарушать требований закона.

Лекарство от утечек

Так, какие шаги необходимо предпринять ЛПУ, чтобы защитить персональные данные в компании и не нарушить закон?

«В первую очередь необходимо подготовить нормативно-распорядительную документацию и локальные нормативные акты, назначить ответственных за обработку персональных данных и прописать взаимодействие с различными органами и третьими лицами, которые могут их запрашивать, - настаивает Александр Ильин. – Ответственное лицо может быть как штатным сотрудником, так и на аутсорсинге. Далее составляется перечень лиц, допущенных к ПД, - это такой табель, где указано, кто из сотрудников к каким именно данным допущен, и прописаны разграничения этого доступа. Важно издать политику по обработке персональных данных, обязательно опубликовать ее на сайте и разместить у себя в организации. В политике должно быть закреплено, с какой целью вы собираете ПД, как обрабатываете их, как защищаете, сколько храните, как уничтожаете и кому передаете, риски и угрозы утечки информации. Не забудьте создать форму на обработку персональных данных, если у вас есть сайт, и там же дать ссылку на свою политику. Прежде чем человек согласится на обработку ПД и поставит галочку в квадратик, он должен ознакомиться с политикой и сделать выводы о том, насколько его данные хорошо защищены. Требуется определить уровень защищенности персональных данных и порядок уничтожения ПД. Обязательно надо составить перечень информационных систем, которые используются в организации, принять меры по защите».

После того, как перечисленные меры реализованы, необходимо собрать сотрудников и рассказать им о том, как в организации ведется обработка персональных данных. На финальной стадии остается направить уведомление в Роскомнадзор для регистрации в качестве оператора ПД.

«По результатам проверки пакета документов, которая длится в среднем 20 дней, организация получает акт, где перечислены все допущенные нарушения, - резюмирует Александр Ильин. - Очень важно, что, если вы устранили все нарушения оперативно и сообщили об этом в ведомство, тогда они не попадут в финальный акт проверки».

Вместо заключения. В июне этого года Самарский областной суд рассмотрел административное дело в отношении врача-инфекциониста регионального центра по профилактике и борьбе со СПИДом и инфекционными заболеваниями, на которую была возложена ответственность за обеспечение безопасности персональных данных. Дело инициировала прокуратура по результатам проверки в амбулаторно-поликлиническом отделении №2 областного центра. Оказалось, что амбулаторные карты пациентов, содержащих персональные данные, хранятся в свободном доступе в незакрывающемся шкафу в медицинском кабинете, в котором ведется прием больных врачом эпидемиологом и медицинской сестрой (теперь вспомните, где хранятся амбулаторные карты в вашем ЛПУ - на стеллажах, которые не закрываются на ключ?). Врача-инфекциониста оштрафовали на 500 рублей. Решение суда было обжаловано, но оставлено в силе вышестоящей инстанцией. Как говорят юристы, наказание могло быть строже, если бы действиями медперсонала кому-то из пациентов был причинен реальный ущерб. 

Подробнее: https://www.medvestnik.ru/content/articles/Operirovat-informaciei.html

0.1194 s
Top.Mail.Ru