#1
|
||||
|
||||
Инновационное правосознание врачей
Присутствую на одном из форумов по использованию планшетов и прочих электронных гаджетов, где обсуждалась их роль в работе врача. "Зацепились" по использованию программы для хранения информации. Один из врачей предлагает ее адаптацию к ведению органайзера + "собственной регистратуры" для пациентов своего участка. Идея однозначно благая, но удивила резко негативная реакция на упоминание мною ст. 9 Федерального Закона № 152-ФЗ от 27.07.2006 "О персональных данных". Более того, еще один-два человека высказались в поддержку оппонента и с критикой зажима современных средств хранения и обработки информации на местах
Ситуация, конечно же, однозначна. Как это ни печально - такое хранение информации противозаконно. Но все же, есть такая неподконтрольная государству штука как жизнь. И в ней выявляется описанная выше тенденция. Определенная недоработка законодательства тоже присутствует, но ждать поправок надо десятилетиями, а работать надо уже сейчас. Собственно, хотел спросить : как относится сообщество к подобным нарушениям законодательства ? И что за это будет ? Ну, увидел пациент, что врач на дому считывал его данные с планшета и забивал туда же текущее состояние. Ну ладно, возмутился, написал жалобу в прокуратуру - и сколько лет отсидки светит ? Можно ли как-то "легализовать" собственную базу (если вдруг кто-то решится на это) ? Разумеется, не хотелось бы быть втянутым в бюрократическую истерику с заявлением на имя ГВ, установкой официальной лицензированной криптозащиты, сдачей планшета в сейф в кабинете ГВ в конце работы, с ежемесячными профилактическими явками в Комитет по противодействию коррупции и местного отделения Следственного Комитета. |
#2
|
||||
|
||||
Я ничего не понял из написанного.
Я знаю статью 9 Закона о персональных данных, но все равно только что прочитал ее еще раз. Я не понимаю, в чем заключается нарушение ст.9 Закона о ПД и почему ситуация однозначна. Давайте подробнее. Вначале детально опишите ситуацию, а затем - несоответствие этой ситуации нормам статьи 9 Закона о ПД. Есть ощущение, что Вы рассказали не все. |
#3
|
||||
|
||||
Цитата:
Врач на постоянной основе, на собственном (личном) носителе хранит в электронной форме персональную (ФИО, адрес, телефон) и медицинскую информацию о своих пациентах. Без уведомления о том этих самых пациентов. Без обязательств и ответственности за ее несанкционированное раскрытие, например, при утрате, случайном копировании в открытые источники и пр... И, само собой, не оформляя своих прав (и обязанностей) Оператора, которое, насколько я понял, присваивается ЛПУ, но никак не третьим лицам, пусть даже это мед. работники. Ст. 9 однозначно требует не просто уведомления о "спец. хранении" подобной информации, но и письменного на то согласия клиента, нет ? Я даже не упоминаю о других положениях данного ФЗ. ИМХО одной этой статьи вполне достаточно : "Субъект персональных данных принимает решение о предоставлении своих персональных данных и дает согласие на их обработку своей волей и в своем интересе" Обратите внимание, не "кто-то" принимает решение, а Субъект. |
#4
|
||||
|
||||
Собссно, с сайта новосибирского Комнадзора
Цитата:
Цитата:
УК РФ [Ссылки доступны только зарегистрированным пользователям ] Цитата:
|
#5
|
||||
|
||||
Спасибо. Впечатляюще исчерпывающая информация
С правовыми последствиями нарушений правил сбора, хранения и пр. - разобрались. Но остается ИМХО не менее интересный аспект "инновационного развития" техники и ее применения в медицине. Присутствие личных портативных компьютеров/планшетов/смартфонов сейчас уже становится обычным делом и будет все более распространяться. Если раньше можно было делать только письменные заметки, вести какие-то записи в журналах, которые, однако, хранились на рабочем месте и которые физически было трудно копировать, тиражировать и обрабатывать, то теперь многое изменилось. Даже не задаваясь целью создать собственную регистратуру, как это решил сделать упомянутый мною коллега, то все равно есть обоснованная потребность накапливать и иметь постоянно под рукой кое-какую специальную информацию по некоторому кругу пациентов. Это - тяжелые, лежачие, льготники и пр., карточки которых вечно теряются, в проверке, да и объем их такой, что таскать на вызовы нереально, а вот собственноручно подготовленная и периодически обновляемая "выжимка из карточки" была бы кстати. Наш напряженный обмен мнениями с упомянутым коллегой натолкнула на мысль о путях "легализации" подобных "избранных глав". Есть ли какие-то мнения по поводу допустимости и ограничениях создания собственных баз данных на пациентов ? С учетом возможностей современной компьютерной техники ? Хотя, конечно, на заднем плане этой темы незримо присутствует постулат : Суровость законов в России искупается необязательностью их исполнения. |
#6
|
||||
|
||||
А что мешает взять согласие на ОПД, как того требует ст.9? Почему Вы строите свои рассуждения, исходя из отсутствия этого согласия, а не из его наличия? И почему Оператор - автоматически медицинская организация? Только потому, что Вы так поняли?
|
#7
|
||||
|
||||
Хм... вроде я раньше немного касался темы легализации. Ну, давайте подробнее. Вот у меня в поликлиническом компе список подлежащих ДД - около 800 чел., с адресами-телефонами, пометками о прохождении, диагнозами, группой диспансеризации. Список переведен в электронную форму лично мною из неорганизованной массы ручных записей в паспорте участка. Это хороший задел для дальнейшего накопления данных для текущей и будущей работы, возможность быстро находить информацию для отчетов по той же ДД - но, если он будет доступен мне в любое время. Для легализации этой БД мне нужно снова лично поквартирно обходить людей и совать на подпись Согласие... А если они не согласны ? Они согласие на диспансеризацию-то подписывали после длительных уговоров через домофон... Вот это мне и мешает.
Оператор, как я понял - это не самопровозглашенное и самостийное образование. Для получения этого статуса надо пройти регистрацию, принять на себя дополнительный обязательства и накликать на себя дополнительные проверки. Вновь риторический вопрос - оно мне надо ?!?!? Цитирую : "Согласно закону, а также ряду подзаконных актов и руководящих документов регулирующих органов (ФСТЭК России, ФСБ России, Роскомнадзор), операторы ПД должны выполнить ряд требований по защите персональных данных физических лиц и предпринять ряд действий: 1.Направить уведомление об обработке персональных данных (Закон № 152-ФЗ Ст. 22 п. 3) 2.Получать письменное согласие субъекта персональных данных на обработку своих персональных данных (Закон № 152-ФЗ ст. 9 п. 4) 3.Уведомлять субъекта персональных данных о прекращении обработки и об уничтожении персональных данных (Закон № 152-ФЗ ст. 21 п. 4)" Далее, я строю свои рассуждения на основе отсутствия согласия именно потому, что согласие отсутствует. Если бы оно присутствовало - зачем бы я поднимал этот разговор. И насчет "только потому что Вы так поняли"... Да, я понял именно так. Медицинская информация на приписной контингент вроде как должна хранится в соотв. ЛПУ, а не, допустим, в ЖЭК. P.S. Знаете, на профессиональном форуме хотелось бы более корректных обращений. Если Вы считаете тему и мои слова глупыми и надуманными, скажите об этом прямо. Все-таки, если перейти к конструктивным мыслям : кто как понимает возможности (и ограничения) хранения и обработки персональной информации на личных носителях ? Разумеется, в профессиональных целях, а не для торговли на подпольных рынках информации. С одной стороны, нынешний закон подразумевает хранение в условиях ЛПУ. С другой, обслуживание вызовов на дому требует доступа к информации в любое время с любого места. |
|
#8
|
||||
|
||||
Вы забыли о таком важнейшем гражданско-правовом институте как доверенность и действие в интересах доверителя. Ничто не мешает работодателю развернуть свое, как Вы пишете, инновационное правосознание и делегировать полномочия оператора ПД конкретному физическому лицу (работнику) в той части, в которой это необходимо тому для выполнения своей трудовой функции. Почему у нас не пользуются доверенностями ( а в отношениях по оказанию гражданам медицинской помощи или предоставлении информации, составляющей врачебную тайну,есть немало точек применения доверенностей) - мне неизвестно. Но то, что физическое лицо может выступать оператором ПД - бесспорно (ст.3 Закона о ПД).
Нет никаких проблем с тем, чтобы на уровне медицинской организации составить согласие на ОПД с указанием в нем возможности передачи некоторых полномочий оператора конкретному лицу, а конкретному лицу ничто не мешает носить с собой выданную "настоящим" оператором доверенность. После этого можете с чистой душой уведомить и ФСТЭК, и ФСБ, и Роскомнадзор. |
#9
|
||||
|
||||
Цитата:
Не предлагаю обсуждать наличие необходимых знаний и навыков на ведение такой электронной регистратуры, ограничимся, что в этом варианте будет много дополнительных проблем и хлопот. Потому что придется все делать не так, как считаешь необходимым, а так, как этого от тебя начнут требовать. Сомневаюсь, что кто-то из практикующих поликлинических врачей реально за это возьмётся. А ближе к жизни ? До какого предела накопление медицинской и персональной информации на личных носителях будет считаться допустимыми "рабочими заметками в электронной форме", а с какого - попадет под действие упомянутого закона ? Пример - у меня на планшете есть несколько ПД пациентов с нестабильным МНО - там их ФИО, телефон и динамика МНО с указанием текущих доз Варфарина, пометками и примечаниями. Часто приходится общаться с ними и вне работы, эти данные постоянно нужны. Длительность некоторых из этих записей - более года. И как - при подобных пополняемых и обновляемых данных, хранящихся на личном планшете - это попадает под действие упомянутого закона или нет ? |
#10
|
|||
|
|||
В Вашей поликлинике пациенты инфомированное согласие о сборе персональных данных подписывают?
|
#11
|
||||
|
||||
|
#12
|
|||
|
|||
У эндокринологов есть Регистр Диабета. Я поставила программу на отдельный ноутбук скопировала базу и дома подсчитываю все, что мне нужно по работе. Всегда считала, что после подписания Согласия информация может быть использована. Задумалась теперь. Но Регистров развелась тьма - как же быть?
|
#13
|
||||
|
||||
Ч.3 и ч.4 ст.6 закона о персональных данных. Можно прочитать, а можно продолжать задумываться и искать себе новые проблемы.
|
#14
|
|||
|
|||
Интересно, читали ли статьи закона те , кто придумывают регистры.
Что до меня - все требования соблюдаю - именно поэтому установила на ПК с кодами и пр. |
#15
|
||||
|
||||
Цитата:
Если на личный, то "кодами" не обойтись. В шапке раздела "Мед.Право" есть тема, посвященная ОП. Там приведены документы, которым ваша "защита данных" должна соответствовать. Попытаюсь скопировать, если позволят возможности редактирования. Очень кратко, подробнее - см. ссылку : http://forums.rusmedserv.com/showthread.php?t=120817 ============================================= В соответствии с перечисленными выше документами организации, эксплуатирующие информационные системы классов 1Г и К1, обязаны: а) получить лицензию ФСТЭК на техническую защиту информации (срок действия — пять лет); б) выполнить все необходимые мероприятия по обеспечению защиты информации для указанных классов информационных систем; в) провести аттестационные испытания ИС по требованиям ФСТЭК. Кроме того, при использовании в учреждении средств криптографической защиты информации может потребоваться получение лицензии ФСБ. Заметим, что во всех случаях установка в ИС ПД сертифицированных средств криптографической защиты информации должна осуществляться организацией, имеющей соответствующую лицензию ФСБ. Аттестация ИС проводится с привлечением внешней организации-аудитора, имеющей соответствующий аттестат аккредитации ФСТЭК. Если проверка показала, что система защиты ПД данной ИС соответствует установленным требованиям, то выдается аттестат соответствия (сроком на три года). С порядком получения лицензии на техническую защиту информации, проведения аттестации ИС и перечнем организаций, уполномоченных проводить аттестационные испытания, можно ознакомится на сайте ФСТЭК ([Ссылки доступны только зарегистрированным пользователям ]). При организации рабочих процессов в учреждении необходимо стремиться к максимально возможному сокращению перечня сотрудников, имеющих доступ к ПД пациентов. Порядок их доступа к конфиденциальным сведениям и ПД, хранящимся в базах данных ИС, должен определяться соответствующими регламентами и должностными инструкциями. ========================================= Исходя из последнего абзаца, порядок пользования личными ПК по идее должны определяться локальными инструкциями. ELENA_VLAD, Вам прописали условия и границы использования Вашего ПК ? Позволю себе продолжать задумываться ... Цитата:
=============================================== Статья 6. Условия обработки персональных данных 3. Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных ... на основании заключаемого с этим лицом договора (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных, предусмотренные настоящим Федеральным законом. В поручении оператора ... должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке, а также должны быть указаны требования к защите обрабатываемых персональных данных ... 4. Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных. ============================================== Т.е., помимо наличия поручения и выполнения всех требований по криптозащите, ВСЕ внесенные в личные БД субъекты должны однозначно дать на то согласие. Хотя есть здесь определенный соблазн : если поручить всем врачам вести базу данных по своим участкам, то можно спокойно разогнать регистраторов и сэкономить фонд заработной платы. В общем, по ФЗ предполагается, что никаких "личных инициатив" не должно быть. Все поползновения должны быть прописаны в должностных инструкциях. Хотя сомневаюсь, что обращение к ГВ по всякому поводу насчет новых аспектов использования ПД на личных носителях - это путь, отличный от "искать себе новые проблемы". ELENA_VLAD, может рискнете провести опыт по легализации Вашего Реестра ? Мне, с моими выписками на планшете, как-то нелепо соваться. А у Вас вон как все серьезно. |