Последствия не соблюдения 152-фз

Данные пациентов: что грозит медучреждениям за несоблюдение 152-ФЗ

Поликлиники и больницы – организации, которые в силу своей деятельности работают с персональными данными людей особой категории. Соответственно, медучреждения должны осуществлять сбор, обработку и хранение ПДн в рамках закона 152 «О персональных данных». Учитывая это, к медицинским организациям предъявляются особые требования, за невыполнение которых грозят штрафы.

ПДн пациента и врачебная тайна

Мединские учреждения обрабатывают особую категорию персональных данных и относятся к субъектам критической информационной инфраструктуры (КИИ). Получая данные пациентов, больница или поликлиника становится оператором персданных, что накладывает на нее обязанности по их защите. Обрабатывать такую информацию можно только в случаях, предусмотренных 10 статьей 152 закона:

— пациент подписал согласие на обработку ПДн;

— пациент сам опубликовал эти данные в общем доступе;

— получить согласие пациента невозможно, но обработка ПДн необходима, чтобы защитить его жизнь или здоровье или жизнь и здоровье других лиц;

— данные обрабатываются в целях установления диагноза, медико-профилактических или оказания других медуслуг при условии, что обрабатывает ПДн профессиональный медработник, обязанный сохранять врачебную тайну.

Информация, относящаяся к врачебной тайне – сведения об обращении человека за медицинской помощью, данные о здоровье и диагнозе, полученные при обследовании или лечении. Разглашать врачебную тайну нельзя, за исключением случаев, прописанных в 4 пункте 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».

Обработка ПДн в медучреждении

Чтобы работать с персданными пациента, медучреждение должно получить письменное согласие пациента. Он в свою очередь может полностью или частично отказаться давать согласие на обработку своих данных. Поэтому, запрашиваемы данные не должны быть избыточными, то есть нельзя запрашивать информацию, в которой нет необходимости.

Документ, который подписывает пациент, должен быть составлен согласно 4 пункту 9 статьи закона «О персональных данных». В согласии должны быть указаны:

— ФИО пациента, его адрес, полные данные паспорта;

—  ФИО представителя пациента, его адрес, полные данные паспорта (при согласии предствителя);

— название медорганизации;

— цель обработки ПДн;

— перечень ПДн на обработку которых пациент согласен;

— данные организации, которая обрабатывает ПДн по поручению медучреждения (если данные обрабатывает не сама больница или поликлиника);

— действия, которые будут осуществляться при работе с ПДн;

— способы обработки ПДн;

— сроки, в течение которых действительно согласие пациента на обработку ПДн, и способы отзыва согалсия;

— подпись пациента.

Предоставление ПДн пациента третьим лицам

Согласно 152-ФЗ предоставление персональных данных человека третьим лицам без его согласия не допускается. Вместе с тем, закон 323 допускает разглашение данных, являющихся врачебной тайной, но в определенных случаях:

—  если пациент не в состоянии выразить свою волю для проведения обследования или лечения;

— при угрозе распространения массовых инфекционных заболеваний, отравлений;

— по запросу органов дознания, прокуратуры, уголовно-исполнительной системы;

— контроля за пациентами, больными наркоманией или употребляющим наркотические и психотропные вещества без назначения врача, которые обязаны пройти лечение, профилактику или медреабилитацию;

— при оказании помощи несовершеннолетнему для информирования родителей или законных представителей;

— для информирования ОВД о пациенте, вред которому был нанесен в ходе противоправных действий;

— для проведения военно-врачебной экспертизы по запросам ведомств;

— для обмена информацией между медучреждениями;

— для контроля и учета в системе обязательного социального страхования.

Ответственность медучреждений

За нарушение правил работы с ПДн медицинским организациям может грозит административная, гражданско-правовая и уголовная ответственности.

Если медучреждение обрабатывает данные в случаях, которые не предусмотрены законом, или эта обработка не соответствует заявленным целям, он может получить предупреждение или штраф в размере:

— от 1 000 рублей до 3 000 рублей для физлиц;

— от 5 000 рублей до 10 000 рублей для должностных лиц;

— от 30 000 рублей до 50 000 рублей для юридических лиц.

За обработку ПДн без письменного согласия, если оно необходимо, или за обработку данных с нарушением требований к составу сведений, медорганизация получит:

— штраф для физлиц от 3 000 рублей до 5 000 рублей;

— штраф для должностных лиц от 10 000 рублей до 20 000 рублей;

— штраф для юрлиц от 15 000 рублей до 75 000 рублей.

Непредоставление человеку сведений об обработке его данных может привести к предупреждению или штрафу:

— от 1000 рублей до 2000 рублей для физических лиц;

— от 4000 рублей до 6000 рублей на должностных лиц;

— от 20 000 рублей до 40 000 рублей на юридических лиц.

Если данные человека, которые являются неполными, недостоверными или незаконно полученными, по его просьбе были удалены или заблокированы позже отведенного на эту процедуру срока, медучреждение может получить предупреждение или штраф размером:

— от 1 000 рублей до 2 000 рублей для физлиц;

— от 4 000 рублей до 10 000 рублей для должностных лиц;

— от 10 000 рублей до 20 000 рублей для ИП;

— от 25 000 рублей до 45 000 рублей для юридических лиц.

За неправомерный или случайный доступ к ПДн посторонних лиц, который повлек изменение, уничтожение, блокирование или распространение данных медорганизации грозит штраф:

— от 700 рублей до 2 000 рублей для физлиц;

— от 4 000 рублей до 10 000 рублей для должностных лиц;

— от 10 000 рублей до 20 000 рублей для ИП;

— от 25 000 рублей до 45 000 рублей для юридических лиц.

Если больница или поликлиника не обезличили ПДн или процедура была проведена не в соответствии с требованиями, должностное лицо медучреждения получит штраф в размере от 3 000 рублей до 6 000 рублей.

В случае незаконного распространения личной или семейной тайны человека без его согласия либо публично с использованием служебного положения, виновный может получить:

— штраф от 100 000 рублей до 300 000;

— лишение права занимать определенные должности на срок от двух до пяти лет;

— принудительные работы на срок до четырех лет;

— арест на срок до шести месяцев;

— лишение свободы на срок до четырех лет.

Неправомерный отказ должностного медицинского лица предоставить документы или материалы, касающиеся прав и свобод пациента, предоставление неполной или ложной информации, причинившие вред интересам пациента, повлечет:

— штраф 200 000 рублей;

— лишение права занимать определенные должности на срок от двух до пяти лет.

Уничтожение, блокирование или изменение информации, которое было вызвано неправомерным доступом к ней, наказывается:

— штрафом до 200 000 рублей;

— исправительными работами на срок до одного года;

— ограничением свободы на срок до двух лет;

— либо принудительными работами на срок до двух лет;

— либо лишением свободы до двух лет.

В случае, когда работа медперсонала с персональными данными привела к причинению пациенту морального вреда, Гражданских кодекс РФ обязывает больницу или поликлинику компенсировать этот вред.

Ранее сайт «Закон 152» писал обо всех видах  ответственности, которые может понести оператор персональных данных в случае на рушения требований закона «О персональных данных».