Работа с персональными данными медработников
Персональные данные гражданина - сведения особо охраняемые законом. Конечно, не на таком уровне как гостайна, но все же, не менее строго. В случае с медицинскими организациями порядок сохранения персональных данных не менее важен, а в свете последних законодательных поправок 2023 года главные врачи и директора больниц совершают ошибки при организации хранения ПД.
Новое в работе с персональными данными в медорганизации 2023
Новый нормативный акт по организации работ с персональными данными выпускать не стали, просто федеральный закон №152 - ФЗ был изменен. Некоторая часть изменений начала свое действие с 01 марта 2023. Крайние правки закона имеют отношение к:
- понятию доступа к персональным данным;
- увеличению перечня информации, относящихся к персональным данным;
- правилам передачи персональных данных между организациями.
Важным обновлением законодательных требований также является передача данных за границу, которая возможна только после соответствующего уведомления Роскомнадзора.
Кроме того, теперь разрешено передавать полномочия по хранению персональных данных сторонним организациям. При этом, ответственность за их «случайное» распространение или преднамеренный электронный взлом баз данных, содержащих такие сведения лежит полностью на организации - заказчике.
В связи с указанными изменениями в законе, работодателю нужно привести локальные акты в порядок. В частности в Положение о порядке работы с персональными данными (при наличии) необходимо внести дополнительные виды персональных данных, обрабатываемых в медорганизации. Здесь важно разграничить ПД для работников больницы и пациентов.
Кроме того, необходимо изменить установленную форму согласия на обработку персональных данных, если медорганизации привлекает для этих целей стороннюю организацию.
Если в практике медицинской организации есть случаи, когда пациента для лечения отправляют за границу, или медработника направляют, например, на заграничную медицинскую конференцию, то необходимо приказом утвердить порядок уведомления об этом Роскомнадзора и назначить ответственного работника за такое уведомление и передачу соответствующих персональных данных.
Алгоритм организации работы с персональными данными
Если что - то и осталось без изменений, то это «общий скелет» алгоритма работы с персональными данными.
Начало работы с персональными данными всегда сводится к одному - назначению ответственных, на которых возлагаются эти обязанности. Это может быть работник отдела кадров, специалист по информационным технологиям или сам руководитель больницы. Особых требований к квалификации такого работника не установлено.
Помимо приказа о назначении ответственных работников за ведение работы с персональными данными в медучреждении должны действовать локальные правила их обработки и защиты. Как правило, они утверждаются соответствующим Положением. На практике лучше всего разделить эти две стороны работы с ПД, то есть разработав два документа: Положение об обработке персональных данных и Положение об их защите. Кроме того, нельзя забывать, что медорганизация должна защищать персональные данные пациентов, поэтому, в этом отношении необходимо иметь соответствующий локальный документ.
Важным звеном в цепочке взаимодействия с персональными данным является защита от несанкционированного доступа к ним. Естественно, что защита персональных данных это комплекс мероприятий, которые необходимо разработать. Практика показывает, что такая работа лучше всего выполняется комиссионно. Комиссия создается приказом руководителя медорганизации. В состав ее в обязательном порядке входит ответственный сотрудник за работу с персональными данными, а также один из заместителей главного врача. Например, в нее можно включить заместителя главного врача по клинико - экспертной работе, так как в его обязанности входит работа с медицинской документацией пациентов, где содержаться их персональные данные.
Одной из составных частей защиты персональных данных является правильная организация их хранения, исключающая неправомерный доступ к ним. Бумажный носитель данных должен хранится в строго установленном месте, доступ к которому должен быть у ограниченного числа работников. В этих целях должен вестись журнал регистрации доступа к персональным данным.
Электронные базы персональных данных также должны правильно хранится. Серверы их хранения должны быть также защищены от хакерских атак, а также попыток удаленного взлома. Кроме того, сервера хранения должны периодически проверятся на наличие запущенных вредоносных программ.
Заключение
Медицинская организация, как и любая другая должна отвечать требованиям закона о защите персональных данных. При этом, необходимо защищать не только персональные данные работников, но и пациентов. Без определенных действий по их защите руководитель медорганизации рискует быть привлеченным к ответственности.
Если вы и дальше хотите оставаться в курсе последних новостей и изменений в законодательстве - присоединяйтесь к нашему каналу в Телеграме. Будем рады видеть вас в нашем сообществе!
Напишите его на почту или заполните форму и наши специалисты предоставят экспертный ответ на него.
Ответы на часто задаваемые вопросы приведены в разделе Вопрос-ответ.
Спасибо за Ваш вопрос!
Мы дадим ответ на него в ближайшее время.
Спасибо за заявку! Мы свяжемся с Вами в ближайшее время.