Специфика защиты персональных данных в организациях здравоохранения

В силу принятия в Республике Беларусь полноценного законодательства в сфере защиты персональных данных, а также появления соответствующего контролирующего органа — Национального центра защиты персональных данных — каждая организация, осуществляющая обработку персональных данных граждан Республики Беларусь, должна привести свою деятельность в целом и любые внутренние процессы в частности в соответствие с новым законодательством. Не исключение и организации здравоохранения.

Организации здравоохранения — это именно те организации, которые обрабатывают наиболее чувствительные типы персональных данных: информацию о здоровье и иные специальные персональные данные пациентов.

Соответственно, все организации здравоохранения обязаны:

• обеспечивать соблюдение режима врачебной тайны в соответствии с Законом о здравоохранении;
• соблюдать правила обработки информации ограниченного распространения согласно Закону Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации» (в ред. от 24.05.2021);
• выполнять требования Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон).

Принципы обработки персональных данных

Любой случай обработки персональных данных должен соответствовать правовым принципам, установленным ст. 4 Закона.

Так, обработка персональных данных должна быть:

• справедливой на всех этапах по отношению к субъекту персональных данных (принцип справедливости);
• основана на согласии субъекта или обрабатываться при наличии оснований, позволяющих не брать согласие у субъекта (принцип законности);
• произведена исключительно для достижения заранее заявленных и законных целей (принцип ограничения целью).

Помимо указанных принципов необходимо соблюдать и принципы, представленные на схеме.

Схема

Правовые принципы работы с персональными данными

Перечисленные принципы являютсяобязательными для любых организаций независимо от сферы деятельности.

Тем не менее, вид деятельности все же влияет на имплементацию принципов защиты персональных данных.

Что учесть организации здравоохранения

Если взять принцип законности, то его реализация организациями здравоохранения имеет определенную специфику.

Мнение автора

При обработке медицинской информации организации, не ведущие деятельность в сфере здравоохранения, вероятнее всего, будут вынуждены полагаться на согласие субъектов персональных данных со всеми вытекающими юридическими сложностями (например, правом на отзыв согласия и необходимостью последующего удаления или блокирования персональных данных).

Организации здравоохранения могут воспользоваться более органичными правовыми основаниями обработки медицинской информации, установленными п. 2 ст. 8 Закона: для организации оказания медицинской помощи или же для защиты жизни, здоровья и иных жизненно важных интересов субъектов персональных данных.

Важно
Стоит обратить внимание и на вопросы секторального регулирования, которое предусматривает получение согласия на обработку персональных данных пациента даже в случаях, когда такая обработка осуществляется организацией здраво­охранения.

Особый порядок обеспечения принципа законности возникает при применении:

• Положения об особенностях оказания медицинской помощи с применением телемедицинских технологий (утв. постановлением Министерства здравоохранения Республики Беларусь от 28.05.2021 № 65, далее — Положение № 65);
• постановления Министерства здравоохранения Республики Беларусь от 07.06.2021 № 74 (касается внесения персональных данных пациента в централизованную систему здравоохранения).

В частности, Положение № 65 требует вносить информацию о формах и порядке дачи и отзыва согласия на внесение и обработку персональных данных пациента в порядок и условия оказания медицинской помощи с применением телемедицинских технологий.

Трансграничная передача данных

Отдельно белорусский законодатель касается вопросов трансграничной передачи персональных данных.

Справочно: если организация направляет персональные данные за пределы Республики Беларусь, она обязана обеспечить надлежащий уровень их защиты в рамках этой процедуры.

В деятельности организаций здравоохранения ситуация трансграничной передачи возникает в случае использования информационных систем, серверы которых находятся вне Республики Беларусь, для хранения персональных данных пациентов (например, облачные CRM-системы).

На данный момент определен перечень стран (это страны — подписанты Конвенции Совета Европы № 108), передача персональных данных в которые не обременяет оператора персональных данных дополнительными юридическими обязательствами.

Важно
Если персональные данные белорусских пациентов будут храниться не в вышеуказанных юрисдикциях, оператор персональных данных обязан обеспечить надлежащий уровень защиты персональных данных самостоятельно.

Обеспечить уровень защиты самостоятельно — это значит, что оператору нужно:

• взять у субъекта персональных данных информированное согласие;
• обеспечить наличие договора с субъектом;
• получить разрешение Национального центра защиты персональных данных и т. д.

Права субъектов персональных данных

Одной из главных точек соприкосновения операторов и субъектов персональных данных является реализация нового и достаточно объемного списка прав субъектов.

В соответствии с Законом субъекты персональных данных могут обратиться за:

• отзывом своего согласия на обработку персональных данных;
• получением информации, касающейся обработки данных, и за их исправлением;
• получением информации о передаче их персональных данных третьим лицам;
• прекращением обработки данных и их удалением.

Важно
Реализация прав субъектов персональных данных имеет четкие временны́е границы: запросы должны исполняться в течение 15 календарных дней.

Единственным исключением из данного правила является право субъекта на предоставление информации, которое должно быть реализовано оператором в 5‑дневный срок с момента получения соответствующего запроса.

Права субъектов персональных данных не являются абсолютными, при реализации каждого из них предусмотрен определенный перечень исключений, которые позволяют защитить в т. ч. и законные интересы операторов персональных данных.

Меры защиты персональных данных

Организациям здравоохранения необходимо уделить внимание мерам защиты персональных данных, общим для всех организаций независимо от сферы деятельности.

К таким мерам относятся:

• уведомление Национального центра защиты персональных данных о нарушениях систем защиты персональных данных;
• назначение лиц, ответственных за контроль обработки персональных данных;
• издание политики в отношении обработки персональных данных;
• установление порядка доступа к персональным данным;
• ознакомление работников с локальными актами и законодательством в сфере защиты персональных данных;
• ведение реестра информационных систем с персональными данными, осуществление технической и криптографической защиты информации и т. д.

Подробнее о мерах защиты персональных данных читайте в статье Т. Соколовской «Организуем комплекс мер по защите персональных данных в организации здравоохранения».

Заключение

Защита персональных данных и обеспечение приватности субъектов персональных данных является комплексной задачей, для решения которой необходимо привлечение значительного количества как внутренних, так и внешних ресурсов. Важно помнить, что комплексный характер задачи обеспечивается в первую очередь разнообразием внедряемых мер: некоторые аспекты требуют технической и даже бизнес-­компетенции, а некоторые — юридического анализа.