Персональные данные, хранящиеся в медицинских организациях условно можно разделить на две группы.
Персональные данные работника, предоставляемые на момент заключения трудового договора с работодателем в соответствии с требованиями Трудового кодекса РФ.
Персональные данные пациента, которые предоставляются при заключении договора на оказание платных медицинских услуг.
Персональная информация должна быть надежно защищена
Предоставляя о себе информацию конфиденциального характера, носителям персональной информации необходимо знать и помнить, что переданная ими информация должна быть надежно защищена. Об этом прописано в законе Российской Федерации «О персональных данных» № 152-ФЗ. При этом, выполнение требований закона «О персональных данных» № 152-ФЗ обязательно для всех организаций.
Одно из требований указанного закона - разработка «Положения о защите персональных данных». Из сложившейся практики в медицинских организациях желательно разработать два таких «Положения». Одно - «Положение о защите персональных данных работников медицинской организации, другое - «Положение о защите персональных данных пациентов».
Работодатель обязан ознакомить персонал медицинской организации с разработанными под роспись, установить контроль за неукоснительным исполнением их требований, назначить ответственных лиц за обработку полученной информации, принять меры необходимые для хранения и защиты персональных данных.
При обработке персональных данных пациентов необходимо брать с каждого пациента или его законного представителя (родителей, дедушки, бабушки и т. д.) согласие на обработку персональных данных. Обязательно разъяснять пациенту, что его персональные данные не могут быть переданы куда-либо без его согласия, за исключением случаев перечисленных в законе «О персональных данных».
Надо ли уведомлять Роскомнадзор?
Рассмотрим вопрос, надо ли медицинской организации уведомлять Роскомнадзор (специальная фед. служба) о себе как об Операторе? Бытует мнение, что если уведомлять, то тем самым можно навлечь на себя плановые проверки Роскомнадзора. Это мнение ошибочно.
Также не вводите себя в заблуждение рассуждениями о том, что можно не уведомлять Роскомнадзор о себе, если персональные данные полученные от работника в качестве стороны трудового договора, обрабатываются медицинской организацией для выполнения своих обязанностей, вносятся в трудовой договор, личную карточку работника, другую кадровую документацию и никуда не предоставляются.
Как правило, все медицинские организации на своем сайте в Интернете выкладывают информацию о своем работнике с фотографией, а это уже распространение персональных данных, на которое надо получить согласие работника. К тому же в соответствии со ст. 79 Закона об охране здоровья все медицинские организации обязаны давать информацию о медицинских работниках с целью информирования населения.
Эти сведения позволяют идентифицировать того или иного медицинского работника. Следовательно, информация о работнике на , относится к персональным данным, которая в соответствии с требованиями закона «О персональных данных» должна быть обработана и защищена и т.д., а медицинская организация, как оператор персональных данных до начала их обработки должна уведомить об этом Роскомнадзор.
Помните, что за нарушение требований закона «О персональных данных» № 152-ФЗ предусмотрены;
-дисциплинарная ответственность (ТК РФ);
-административная ответственность (Кодекс РФ об административных правонарушениях»;-уголовная ответственность (п.1 ст. 137 УК РФ).
Первый отдел детского медицинского центра «Маркушка».
