Согласно п. 4.2. методических рекомендаций при обращении граждан за медицинской помощью и ее получении в лечебно-профилактических учреждениях информация о том, кому могут предоставляться сведения о факте обращения за медицинской помощью, в том числе о пребывании пациента в медицинском учреждении в настоящее время, состоянии его здоровья, диагнозе его заболевания и иных сведениях, полученных при его обследовании и лечении, должна со слов пациента заноситься в его медицинскую документацию и им подписываться. Соответственно, в отношении амбулаторного пациента эта информация должна быть отражена в медицинской карте амбулаторного больного, в отношении пациента в стационаре – в медицинской карте стационарного больного.

Аналогичная информация должна заноситься в медицинские карты пациентов, не достигших возраста 15 лет, и лиц, признанных судом недееспособными, и быть подписана их законными представителями.

В последующем лечащий (или дежурный) врач, должностные лица медицинского учреждения, сотрудники справочного бюро и других подразделений должны учитывать данную информацию при общении с третьими лицами, а также при ответах на письменные и устные обращения юридических и физических лиц по вопросам, касающимся данного пациента.

В территориальных фондах ОМС и страховых медицинских организациях определяется круг лиц из числа работников и внештатных врачей-экспертов, которые в силу своих служебных и профессиональных обязанностей имеют доступ к сведениям, составляющим врачебную тайну. Данные лица включаются в списки, которые утверждаются приказом руководителя территориального фонда ОМС или страховой медицинской организации. Работникам территориального фонда ОМС и страховых медицинских организаций, включенным в упомянутые списки, а также внештатным медицинским экспертам, пользующимся медицинской документацией и другими материалами, содержащими сведения, составляющие врачебную тайну, в силу своих профессиональных обязанностей, выдается специальный вкладыш к служебному удостоверению, дающий право на допуск к данной документации.

Одновременно для обеспечения конфиденциальности сведений, составляющих врачебную тайну, в территориальном фонде ОМС и страховой медицинской организации устанавливается порядок прохождения поступивших в территориальный фонд или страховую медицинскую организацию документов из учреждений и обращений от граждан со сведениями, составляющими врачебную тайну. Данный порядок должен исключать возможность для сторонних лиц, а также работников территориального фонда ОМС или страховой медицинской организации, не имеющих допуск к сведениям, составляющим врачебную тайну, знакомиться и пользоваться поступившими, находящимися на рассмотрении или оставляемыми в фонде ОМС (страховой медицинской организации) документами, содержащими эти сведения, или их копиями.

Как должна обеспечиваться информационная безопасность в медицинской организации?

Пациенты как субъекты персональных данных, в том числе составляющих врачебную тайну, передавая сведения о себе, вправе рассчитывать на соблюдение конфиденциальности при использовании данной информации в медицинских организациях. Это подразумевает не только применение технических средств защиты (специальные сертифицированные программные и технические средства защиты информации[14]), но и проведение комплекса организационных мероприятий, направленных на предотвращение потери, искажения ине-санкционированного доступа к персональным данным.

Указанный комплекс мероприятий должен подразумевать наличие в медицинской организации должностных инструкций, положения об обработке персональных данных, журналов (журнала регистрации используемого программного обеспечения, журнала по учету носителей информации, содержащей персональные данные, журнала учета обращений граждан – субъектов персональных данных, журнала регистрации выявленных нарушений). Должны функционировать регламенты взаимодействия между подразделениями медицинской организации, регламенты использования программного обеспечения, ресурсов сети Интернет, требования к профессиональной подготовке персонала. Медицинские работники должны подписывать обязательства о неразглашении данных.[15]

Приказом руководителя (главного врача) медицинской организации из числа работников назначается ответственный за организацию обработки персональных данных. В его обязанности входит контроль за соблюдением оператором и сотрудниками медицинской организации законодательства о персональных данных и требований к их защите; доведение до сведения сотрудников положений законодательства и иных актов, в т. ч. локальных актов организации, регламентирующих процесс обработки персональных данных; организация приема и обработки обращений и запросов субъектов персональных данных.