Как клинике обеспечить защиту личных данных пациентов и сотрудников

Как избежать утечки данных

Для надёжной защиты данных в клинике назначают ответственного сотрудника и официально закрепляют его полномочия. Этот специалист разрабатывает внутренние правила работы с личной информацией, а также формируется комиссия для проверки состояния защиты и внесения предложений по её улучшению. Кроме того, ответственное лицо уведомляет Роскомнадзор о статусе организации как оператора персональных данных.

Документы внутри клиники

Внутренние документы включают инструкции для персонала, регламенты по работе с личной информацией, приказы, журналы контроля нарушений, учёт используемых программ и носителей данных, а также регистрацию обращений граждан. Обязательно оформляются соглашения о неразглашении, инструкции по работе с программами и интернетом, а также требования к обучению сотрудников.

Уведомление Роскомнадзора

Перед началом сбора персональных данных пациентов или сотрудников клиника обязана сообщить об этом Роскомнадзору. В дальнейшем о любых изменениях в системе защиты также необходимо извещать этот орган.

Уведомления в Роскомнадзор подаются по установленным формам — о начале, изменении или прекращении работы с персональными данными, а также при их передаче за границу. Это касается данных как пациентов, так и сотрудников. Если в клинике сменился ответственный, изменились цели сбора или меры защиты, нужно направить новое уведомление не позднее 15 числа месяца, следующего за месяцем изменений.

Ответственный работник должен проверить, что все уведомления соответствуют внутренним документам, опубликованным на сайте. Несовпадения между уведомлениями и опубликованной политикой могут привести к проверкам и штрафам.

Политика обработки данных на сайте клиники

На сайте клиники обязательно размещается политика по обработке персональных данных. В ней подробно описывается, как организация собирает, использует и хранит личную информацию, а также кто отвечает за её безопасность. Если политика отсутствует или оформлена неправильно, Роскомнадзор может наложить штраф до 60 000 рублей.

В политике должны быть отражены способы сбора, использования и хранения данных, а также ответственность за их защиту. Необходимо следить, чтобы политика всегда совпадала с уведомлениями в Роскомнадзор, особенно при изменении целей обработки или трансграничной передачи данных.

Также на сайте размещается ссылка на текст согласия на обработку персональных данных, обычно рядом с формами для записи на приём или обратной связи. Отсутствие такой ссылки грозит штрафом до 150 000 рублей. 

С ноября 2023 года при выявлении трёх и более несоответствий между сайтом и уведомлениями Роскомнадзор имеет право начать проверку. Для предотвращения штрафов необходимо следить за актуальностью всех сведений на сайте и в документах.

Формулировка согласия на обработку должна быть ясной и однозначной. Формы согласий требуют регулярного обновления с учётом новых правил.

Как снизить риски

- Регулярно обновлять внутренние документы, чтобы правила реально выполнялись.

- Обучать сотрудников новым требованиям по работе с персональными данными.

- Проводить внутренние и независимые проверки соблюдения правил.

- Разрабатывать инструкции для экстренных ситуаций и утечек информации.

Рекомендуется проходить специализированные курсы, учитывающие специфику медицины. Все сотрудники, руководители и ответственные за данные должны ежегодно проходить обучение.