Пациенты ежедневно оставляют информацию о себе. И для них важно, чтобы сведения о результатах лечения и состоянии их здоровья не попали в открытый доступ. Медицинские учреждения не только перерабатывают большие объемы данных, но и обещают обезопасить клиентов от утечки медкарт.
В этой статье мы поговорим о персональных данных (ПД) и о том, как с ними правильно работать в 2023 году. А также обсудим особенности работы с федеральной службой — Роскомнадзором.
Особенности законодательства о персональных данных
Понятие конфиденциальности ПД закреплено в Федеральном законе №149 «Об информации, информационных технологиях и о защите информации». А работа с ними регулируются документом №152 «О персональных данных».
Если компания нарушает требования, Роскомнадзор может выписать штраф, заблокировать сайт и даже аннулировать лицензию у клиники. При этом сумма денежного взыскания повышается с каждым годом.
По закону, ПД — любая информация, которая прямо или косвенно помогает идентифицировать физическое лицо. К ПД относят:
- Паспортные данные.
- Контакты — номер телефона, адрес email, ссылки на профили в социальных сетях и персональные страницы.
- Результаты лечения и исследований.
- Метаданные — cookie, IP-адрес, местоположение.
Обработка ПД включает в себя такие действия, как:
- Сбор и запись.
- Систематизация.
- Хранение и обновление.
- Использование и передача.
- Удаление.
Проблемы безопасности в сфере здравоохранения
Клиники собирают информацию с помощью веб-ресурса: запись на прием и заказ обратного звонка. При этом медицинские учреждения обязаны хранить данные о здоровье каждого пациента и не разглашать врачебную тайну.
Эксперты установили, что в 2022 году с утечкой ПД столкнулись 20% организаций из сферы здравоохранения. Аналитики выделяют три ключевые проблемы:
- Малоквалифицированный персонал. Речь идет о людях, которые слабо понимают, как работать с компьютером и программным обеспечением. Это и приводит к халатности и потере медкарт.
- Недобросовестные сотрудники. Еще одна внутренняя проблема, которая связана с человеческим фактором. Люди намеренно передают информацию третьим лицам или предоставляют им доступ к базе.
- Отсутствие специалистов по кибербезопасности. Это внешняя проблема — то есть ситуация, когда сайт взламывают мошенники. А медицинское учреждение не может обеспечить безопасность ввиду отсутствия штатного эксперта.
Как работать с персональными данными
Для начала нужно создать систему безопасности на сайте. Обратитесь за помощью к профессионалам, которые помогут смоделировать вероятные угрозы и разработать правила по защите веб-ресурса.
Если вы сталкиваетесь с частыми сбоями программного обеспечения, обратитесь к своему поставщику. Специалисты должны найти и устранить причину. Также во многих организациях запрещают подключение сторонних устройств и выход в социальные сети и мессенджеры. Это нужно для того, чтобы никто из персонала не смог передать внутреннюю информацию.
После того, как вы удостоверились, что внутренние и внешние проблемы решены, переходите к работе с ПД.
1. Подготовьте информационный текст для положения «Политика конфиденциальности».
2. Опубликуйте правила по работе с ПД на свой сайт. Обычно материал размещают в подвале веб-ресурса.
3. Напишите для пользователей соответствующее примечание в форме заявки и добавьте возможность поставить галочку. К примеру, «Нажимая на кнопку, я соглашаюсь на обработку персональных данных». А в тексте вы можете продублировать ссылку на положение о конфиденциальности. Кстати, отсутствие галочки и примечания — это самая распространенная ошибка, из-за которой человек может подать на вас в суд.
Как создать «Политику конфиденциальности»
Текст должен утвердить руководитель медцентра. Вам нужно четко указать:
- Как проходит сбор личных данных.
- Для чего вы храните материалы и как будете их использовать.
- Каким образом и в каких программах сохраняется информация.
- Как вы обеспечиваете безопасность.
- Готовы ли вы передавать ПД третьим лицам и для каких целей.
Старайтесь написать понятную и подробную инструкцию, чтобы снять вопросы потенциальных клиентов. Единых требований к оформлению материала не существует. Поэтому если вы не знаете, как правильно написать текст, изучите сайты конкурентов или воспользуйтесь конструкторами политики конфиденциальности.
Уведомление Роскомнадзора о работе с личными данными
На основании указа №152-ФЗ вы должны уведомить Роскомнадзор до того, как начнете работу с ПД. Форма заявления находится на официальном сайте. Его нужно отправить в электронном виде, а затем распечатать и отнести в местный орган управления РКН.
Случаи, когда нет необходимости в извещении РКН:
- ПД включены в государственные информационные службы.
- Компания систематизирует данные без средств автоматизации.
Цель государства — обеспечение безопасности физических лиц, сохранности их прав и интересов. Все компании должны выполнять требования Роскомнадзора, в ином случае последует штраф. Но если вы все оформили правильно и вовремя отправили заявление — бояться не стоит.
Заключение
Мы рассмотрели особенности ПД и рассказали, как правильно с ними работать.
Что нужно помнить при работе с ПД:
- Отправьте заявление в РКН.
- Подробно распишите политику конфиденциальности и добавьте ее на веб-сервис.
- Укажите примечание, чтобы пользователь мог прочитать регламент о работе с ПД и согласиться с вашими условиями.
- Устраните внутренние и внешние проблемы, которые могут привести к утечке информации.
Наше агентство в течение восьми лет занимается разработкой медицинских сайтов. Мы знаем, как сделать эффективный ресурс, который будет удобен вашим клиентам. Если вы хотите привлечь новую целевую аудиторию и повысить репутацию бренда — обращайтесь к нам по телефону: +7 (495) 845-40-91 или заполняйте бриф на сайте.
