Пациент на приеме у врача не дал согласия на обработку персданных. Могут ли отказать в обслуживании?

Ольга Пасияк

Медицина — одна из самых сложных и интересных сфер в защите персональных данных. Частные и государственные клиники работают с такой чувствительной информацией, как состояние здоровья, и должны вписываться в требования законодательства не только о персданных, но и о здравоохранении. Даже если вы записались, но не пришли на прием, это уже считается персональными данными. В очередном материале проекта «Бизнес под защитой» при поддержке онлайн-сервиса Битрикс24 в Беларуси разбираем тонкости работы с персональными данными в здравоохранении на примере медицинского центра «Экомедсервис».

Пациент на приеме у врача не дал согласие на обработку персданных. Могут ли отказать в обслуживании?

«Только письменно и от руки»? Особенности получения согласия в медцентрах

Виктория Шилко,

специалист по внутреннему контролю за обработкой персональных данных медицинского центра «Экомедсервис»

— Одно дело, когда происходит обработка фамилии, имени и отчества, номера телефона и электронной почты, но мы обрабатываем еще и данные о диагнозе, о факте обращения за медпомощью. Это повышает ответственность в связи с обработкой и защитой данных клиента, — объясняет Виктория Шилко, специалист по внутреннему контролю за обработкой персональных данных медицинского центра «Экомедсервис».

В медицинской сфере сложились свои требования к согласию: при его получении применяют законодательство не только о защите персданных, но и о здравоохранении, поскольку имеют дело с врачебной тайной.

— По закону «О здравоохранении», если медцентр вносит сведения о пациенте в свою информационную систему, нужно получить его письменное согласие. И если по закону о персданных можно получать согласия в различных формах, в том числе посредством форм на сайтах организаций, то у нас только письменно. Есть разработанная форма, мы ее распечатываем и предлагаем пациенту самому внести свои данные. В итоге те правовые основания, которые доступны в других сферах, например обработка персданных по договору в том же ретейле, в случаях с пациентами не всегда работают, — продолжает Виктория Шилко.

Для получения письменного согласия в медицине есть специальная форма, утвержденная постановлением Минздрава № 74. И хотя в самом тексте постановления написано, что такое согласие применяется при обращении в государственную организацию здравоохранения, для частных клиник не было других вариантов, поэтому, учитывая требования закона «О здравоохранении», там тоже использовали эту форму.

Эксперт уточняет, что в конце прошлого года Национальный центр защиты персональных данных (НЦЗПД) совместно с Республиканским научно-практическим центром медицинских технологий, информатизации, управления и экономики здравоохранения разработали методические рекомендации по обработке персданных, которые облегчили ситуацию для медцентров. Теперь у них будет три варианта, как получить согласие пациента на внесение сведений о нем в информационные системы:

использовать форму и порядок, которые утверждены Минздравом, и брать письменное согласие по строго установленной форме;
самостоятельно разработать форму и порядок получения согласия, то есть, по сути, появилась возможность руководствоваться общими нормами и в том числе получать согласия в иной электронной форме (например, на сайте);
самостоятельно определить порядок и использовать форму, которую рекомендует Национальный центр защиты персданных.

— Особенность наших согласий еще и в подходе к срокам, — добавляет представитель «Экомедсервиса». — Нормы закона о защите персданных не предусматривают минимальных и максимальных сроков, на которые можно получить согласие, это оставляется на откуп оператору. По общему правилу операторы вправе получать согласия на любой срок, но максимальный — три года. Форма согласия, которая разработана Минздравом, предполагает, что такое согласие берется один раз и действует до момента отзыва. По сути, оно не имеет четкого срока действия.

Спецификой можно назвать и возраст согласия. Среди пациентов медцентров есть дети, за которых согласие дают законные представители. В законе закреплена норма, что с 16 лет несовершеннолетний может сам дать согласие на обработку персданных. Исключения — если он вступил в брак до достижения этого возраста, т. е. максимум с 15 лет при определенных случаях.

«Ситуация, когда удаленно могут взломать кассы магазина, — реальность». Зачем ретейлу вкладывать в защиту персданных

А если пациент не дал согласия на обработку персданных?

Медицинский центр берет согласие у пациента на внесение сведений в информационную систему. Если на пациента заводится электронная медицинская карта, на это тоже нужно получить согласие. А вот если врач заполняет все документы от руки, согласие не нужно.

С одной стороны, если пациент не дает своего согласия на обработку персданных, медцентр не вправе отказать в оказании медпомощи и все равно должен обеспечить ее ведение в бумажном виде — от момента записи до платы за оказанные услуги. Но с другой — нужно понимать, что это создает определенные неудобства для самого пациента.

Представитель «Экомедсервиса» подчеркивает, что медицинская система — это не просто база, куда вносят данные о пациенте.

— При наличии согласия врач заводит электронную медицинскую карту. И, если пациенту нужна выписка или заключение на руки, этот процесс значительно ускорится и упростится. Плюс на адрес электронной почты можно получать результаты анализов и некоторых документов, связанных с медобслуживанием (для этого также необходимо получить отдельное согласие на обработку персданных). Особенно это важно для пациентов, которые обслуживаются не один раз или идут куда-то с этими документами. Проще говоря, без согласия этого сделать не получится.

Когда пациенты отказываются предоставить свои персональные данные, они зачастую не понимают, о чем речь, уточняет специалист. Представьте, вы приходите на прием, и в регистратуре вам говорят: «Подпишите согласие на обработку персданных» и дают бланк. Да, в этом бланке все описано: цели обработки, срок, какие персональные данные обрабатываем, какие права этот пациент имеет. Но человек спешит на прием, ему некогда читать, и в итоге он отказывается подписывать либо начинает сильно нервничать, потому что не понимает, что от него хотят.

По словам Виктории Шилко, здесь большая роль как раз специалистов по работе с персданными.

Важно еще на этапе обучения работников, в том числе тех, кто берет согласие при регистрации пациентов, научить объяснять быстро и понятно, для каких целей берется это согласие и что оно собой представляет.

У людей по-прежнему есть страх, что подписать согласие — значит предоставить право медцентру обязательно кому-то передать их персональные данные, что совершенно неверно. Важно донести до пациентов информацию, что медцентр в любом случае всегда ограничен обязанностью сохранять врачебную тайну. И предоставить кому-то информацию о состоянии здоровья он может только тогда, когда на это есть основания, предусмотренные ст. 46 закона «О здравоохранении». Согласие на обработку персданных не дает права передавать сведения о состоянии здоровья, это лишь инструмент для законной обработки персданных пациентов в наших информационных системах.

Когда согласие на обработку персданных в медицине все-таки не нужно

В законе предусмотрены два специальных правовых основания, при которых медорганизациям согласие на обработку персданных не нужно.

Первое — в целях организации оказания медицинской помощи без использования средств автоматизации. Например, приходите на прием к врачу, а он от руки заполняет вашу бумажную карту, форма которой нормативно утверждена.

Второе основание: пациент находится в состоянии, когда он не способен объективно дать согласие на обработку персональных данных. Например, поступает в медорганизацию в тяжелом состоянии.

Ошибки в защите персональных данных могут «закрыть» ваш бизнес в e-commerce. Гайд для тех, кто этого не хочет

Как законодательство о персданных изменило работу медцентров

Со вступлением в силу законодательства о персональных данных медцентрам пришлось перестраивать многие процессы: настраивать работу, проводить обучение, готовить документы, которые определяют политику, говорит наша собеседница.

— У нас же еще есть сайт, и для него мы готовили отдельную политику по обработке cookie-файлов, плюс видеонаблюдение ведется в здании. Сейчас также идет работа по получению аттестата системы защиты информации. Разграничен и порядок доступа к данным у сотрудников, что должно быть по умолчанию в организациях здравоохранения. Принцип к порядку доступа: лучше меньше, чем больше.

В таких масштабных изменениях процессов помогает онлайн-сервис «Битрикс24».

С ним можно удобно выстроить коммуникацию и совместную работу между администраторами центра и врачами. Например, в таск-трекере поставить задачу на обучение сотрудников скриптам о персональных данных и организовать это обучение в базе знаний в сервисе.

Все интерфейсы интуитивно понятны, руководители могут видеть прогресс обучения или адаптации сотрудников к новым процессам.

Справиться с любыми изменениями в рабочих процессах вашей компании просто с онлайн-сервисом «Битрикс24».

Пациент на приеме у врача не дал согласия на обработку персданных. Могут ли отказать в обслуживании?

Разделяют и обучение. Для регистраторов акцент нужно делать на том, как получать согласие, зачем это надо, какие права имеют пациенты. Для докторов — на том, когда нужно получать согласие и в каких случаях врачи имеют право на обработку данных без согласия. Для всех категорий — вопросы ответственности, недопустимости использования информации в своих целях и др.

К слову, сейчас обсуждают проект Кодекса о здравоохранении, в котором отсутствует обязанность получать письменное согласие, что упростит работу медцентров.

Частые ошибки медцентров в работе с персданными

На сайте нет актуальной политики обработки персональных данных или просто опубликован текст закона «О защите персональных данных».
Организация здравоохранения ведет страницы в соцсетях и не учитывает нюанс, что публикация фотографии или видеоролика с участием пациентов запрещена без их согласия. Виктория Шилко уточняет, что нельзя забывать и о получении согласия врачей на размещение таких роликов. Да, они повышают лояльность и узнаваемость бренда медцентра, но трудовая функция врача не подразумевает непосредственное общение в соцсетях. Причем важно, чтобы согласие было свободным.
Размещение информации на официальном сайте медцентра может также вызывать вопросы. Одно дело, если речь идет о рабочем номере телефона или рабочей почте руководителя или его заместителей. Но совсем другое — размещение биографии и фото работников, что подразумевает получение согласия. Законом урегулирован вопрос ведения сайтов госорганизаций, где сказано, что фотография, фамилия, имя и отчество, должность руководителя и его замов должны быть размещены на ресурсе. Но для размещения информации о сотрудниках медцентра необходимо наличие правового основания. И если в отдельных случаях законодательство обязывает размещать информацию о работниках на сайте медорганизации — например, расписание приема врачей, то для размещения, скажем, популярных в последнее время видеовизиток медиков необходимо получать согласие работника.
Важно также соблюдать закон о защите персданных в направлении рекламы о новых услугах, акциях медцентров на телефон либо электронную почту пациентам. Во-первых, делать это можно только на основании согласия. Во-вторых, это согласие должно быть информированным, и нужно обязательно сообщить пациенту о трансграничной передаче, если используется Viber-рассылка или отправка писем на электронную почту с иностранными серверами. В начале января были опубликованы разъяснения НЦЗПД о том, как операторы должны обрабатывать персональные данные для направления рекламной рассылки.

***

В следующем материале совместного с Битрикс24 проекта «Бизнес под защитой» мы разберем особенности защиты персональных данных в банковской сфере на примере МТБанка.

Можно ли выкладывать фото с корпоратива в соцсетях? Семь наивных вопросов о персональных данных

Фото: Envato Elements

Партнерский материал

Сейчас читают