Цифрлық денсаулық сақтау субъектілерінің дербес медициналық деректерді жинауды, өңдеуді, сақтауды, қорғауды және беруді жүзеге асыру қағидаларын бекіту туралы

Қазақстан Республикасы Денсаулық сақтау министрінің 2021 жылғы 14 сәуірдегі № ҚР ДСМ -30 бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2021 жылғы 15 сәуірде № 22550 болып тіркелді

Қолданыстағы

      "Халық денсаулығы және денсаулық сақтау жүйесі туралы" Қазақстан Республикасының 2020 жылғы 7 шілдедегі Кодексі 58-бабының 3) тармағына сәйкес БҰЙЫРАМЫН:

      1. Цифрлық денсаулық сақтау субъектілерінің дербес медициналық деректерді жинауды, өңдеуді, сақтауды, қорғауды және беруді жүзеге асыру қағидалары бекітілсін.

      2. Қазақстан Республикасы Денсаулық сақтау министрлігінің Электрондық денсаулық сақтауды дамыту департаменті Қазақстан Республикасының заңнамасында белгіленген тәртіппен:

      1) осы бұйрықты Қазақстан Республикасы Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы бұйрықты ресми жарияланғаннан кейін оны Қазақстан Республикасы Денсаулық сақтау министрлігінің интернет-ресурсында орналастыруды;

      3) осы бұйрықты Қазақстан Республикасының Әділет министрлігінде мемлекеттік тіркегеннен кейін он жұмыс күні ішінде Қазақстан Республикасы Денсаулық сақтау министрлігінің Заң департаментіне осы тармақтың 1) және 2) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

      3. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасының Денсаулық сақтау вице-министріне жүктелсін.

      4. Осы бұйрық алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

      Қазақстан Республикасы
Денсаулық сақтау министрі
А. Цой

      "КЕЛІСІЛДІ"

      Қазақстан Республикасы

      Цифрлық даму, иновациялар және

      аэроғарыш өнеркәсібі министрлігі

  Қазақстан Республикасы
Денсаулық сақтау министрі
2021 жылғы 14 сәуірдегі
№ ҚР ДСМ -30 Бұйрыққа
қосымша

Цифрлық денсаулық сақтау субъектілерінің дербес медициналық деректерді жинауды, өңдеуді, сақтауды, қорғауды және беруді жүзеге асыру қағидалары

1-тарау. Жалпы ережелер

      1. Осы цифрлық денсаулық сақтау субъектілерінің дербес медициналық деректерді жинауды, өңдеуді, сақтауды, қорғауды және беруді жүзеге асыру қағидалары (бұдан әрі-Қағидалар) "Халық денсаулығы және денсаулық сақтау жүйесі туралы" Қазақстан Республикасының 2020 жылғы 7 шілдедегі Кодексі (бұдан әрі – Кодекс) 58-бабының 3) тармақшасына сәйкес әзірленді және дербес медициналық деректердің жинау, өңдеу, сақтау, қорғау және беру тәртібін айқындайды.

      2. Осы Қағидаларда мынадай ұғымдар пайдаланылады:

      1) дербес деректерді жинау – дербес деректерді алуға бағытталған іс-әрекеттер;

      2) дербес деректерді өңдеу-дербес деректерді жинақтауға, сақтауға, өзгертуге, толықтыруға, пайдалануға, таратуға, иесіздендіруге, бұғаттауға және жоюға бағытталған іс-әрекеттер;

      3) дербес медициналық деректер - жеке тұлғаның денсаулығы мен оған көрсетілген медициналық қызметтер туралы мәліметтерді қамтитын, электрондық, қағаз немесе өзге де материалдық жеткізгіштерде тіркелген дербес деректер;

      4) денсаулық сақтау саласындағы уәкілетті орган (бұдан әрі - уәкілетті орган) - Қазақстан Республикасы азаматтарының денсаулығын сақтау, медицина және фармацевтика ғылымы, медициналық және фармацевтикалық білім беру, халықтың санитариялық-эпидемиологиялық саламаттылығы, дәрілік заттар мен медициналық бұйымдардың айналысы, медициналық қызметтер (көмек) көрсетудің сапасы саласында басшылықты және салааралық үйлестіруді жүзеге асыратын орталық атқарушы орган;

      5) медицина қызметкері - кәсіптік медициналық білімі бар және медициналық қызметті жүзеге асыратын жеке тұлға;

      6) медицина қызметкерінің құпиясы-дербес медициналық деректер, медициналық көмекке жүгіну фактісі, адамның денсаулық жағдайы, оның ауруының диагнозы туралы ақпарат және оны тексеру және (немесе) емдеу кезінде алынған өзге де мәліметтер;

      7) медициналық ақпараттық жүйе-денсаулық сақтау субъектілерінің процестерін электрондық форматта жүргізуді қамтамасыз ететін ақпараттық жүйе;ақпараттандыру объектілері – электрондық ақпараттық ресурстар, бағдарламалық қамтамасыз ету, интернет-ресурс және ақпараттық-коммуникациялық инфрақұрылым;

      8) пациент - медициналық көмек көрсетуді қажет ететін ауруының немесе жай-күйінің болуына немесе болмауына қарамастан, медициналық көрсетілетін қызметтердің тұтынушысы болып табылатын (болып табылған) жеке тұлға;

      9) хабардар етілген келісім - адамның медициналық көмек алуға және (немесе) оның шешім қабылдауы үшін маңызы бар медициналық көмектің және (немесе) зерттеудің барлық аспектісі туралы ақпаратты алғаннан кейін нақты зерттеуге қатысуға өз келісімін жазбаша ерікті түрде растау рәсімі. Хабардар етілген жазбаша келісім уәкілетті орган бекіткен нысан бойынша ресімделеді;

      10) цифрлық денсаулық сақтау субъектісі - цифрлық денсаулық сақтау саласында қызметті жүзеге асыратын немесе қоғамдық қатынастарға түсетін жеке және заңды тұлғалар, мемлекеттік органдар.

      3. Цифрлық денсаулық сақтау субъектілерінің дербес медициналық деректерді жинауы, өңдеуі, сақтауы және беруі "Дербес деректер және оларды қорғау туралы" Қазақстан Республикасы 2013 жылғы 21 мамырдағы Заңының талаптарына сәйкес оларды қорғау қамтамасыз етілген жағдайларда жүзеге асырылады.

      4. Дербес медициналық деректерді қамтитын электрондық медициналық жазбаларды қалыптастыру үшін дербес медициналық деректерді жинау, өңдеу, сақтау және беру Кодекстің 60-бабының 1-тармағына сәйкес пациенттің медициналық көмек алуға ақпараттандырылған келісімі ескеріле отырып, медициналық көмек көрсету шеңберінде жүзеге асырылады.

2-тарау. Цифрлық денсаулық сақтау субъектілерінің дербес медициналық деректерді жинау тәртібі

      5. Дербес медициналық деректерді жинау үшін цифрлық денсаулық сақтау субъектісі Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 2020 жылғы 21 қазандағы № 395/НҚ бұйрығымен (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 147734 болып тіркелген) (бұдан әрі – № 395/НҚ бұйрық) бекітілген дербес деректерді жинау, өңдеу қағидаларында айқындалатын тәртіппен пациенттің және (немесе) оның заңды өкілінің оған жатқызылған дербес деректерді жинауға, өңдеуге келісімін сұратады.

      6. Пациент және (немесе) оның заңды өкілі дербес медициналық деректерді жинауға және өңдеуге жазбаша нысанда, электрондық құжат нысанында немесе "электрондық үкімет" веб-порталындағы пайдаланушының кабинеті арқылы беру арқылы келісім береді.

      7. Пациент және (немесе) оның заңды өкілі "Дербес деректер және оларды қорғау туралы" Қазақстан Республикасының 2013 жылғы 21 мамырдағы Заңы 24-бабының 2-тармағына сәйкес медициналық көмек көрсету мақсатында цифрлық денсаулық сақтау субъектісіне өзінің дербес медициналық деректерін ұсынады.

      8. Цифрлық денсаулық сақтау субъектісі дербес медициналық деректерді жинауды пациенттің және (немесе) оның заңды өкілінің сөздерінен, пациент және (немесе) оның заңды өкілі ұсынған құжаттардан, медициналық құжаттамадан және (немесе) ақпараттық-коммуникациялық технологияларды және (немесе) ақпараттандыру объектілерін пайдалана отырып жүзеге асырады.

      9. Медициналық көмек көрсету кезінде медицина қызметкері медициналық ақпараттық жүйелерге ақпаратты (электрондық медициналық жазбалар, пациенттің денсаулық жағдайы және диагнозы туралы ілеспе материалдар), оның ішінде медицина қызметкерінің электрондық цифрлық қолтаңбасын пайдалана отырып, медициналық көмек алуға пациенттің және (немесе) оның заңды өкілінің алынған хабардар етілген келісімін құжаттайды.

3-тарау. Цифрлық денсаулық сақтау субъектілерінің дербес медициналық деректерді өңдеу және сақтау тәртібі

      10. Дербес медициналық деректерді өңдеуді цифрлық денсаулық сақтау субъектісі пациенттің медициналық деректеріне өзгерістер және (немесе) толықтырулар енгізу, пайдалану, тарату, иесіздендіру, бұғаттау және жою арқылы жүргізеді.

      11. Пациенттердің дербес медициналық деректерін өңдеуді цифрлық денсаулық сақтау субъектілері тек медициналық көмек көрсету үшін жүзеге асырады.

      12. Цифрлық денсаулық сақтау субъектісі пациенттің және (немесе) оның заңды өкілінің бастамасы бойынша тиісті құжаттармен расталған негіздер болған кезде өтініш келіп түскен күннен бастап үш жұмыс күні ішінде пациенттің дербес медициналық деректеріне өзгерістер және (немесе) толықтырулар енгізеді.

      13. Цифрлық денсаулық сақтау субъектілері дербес деректер субъектілері "электрондық үкімет" веб-порталында тіркелген жағдайда, ақпараттық өзара іс-қимыл шеңберінде дербес медициналық деректерді пайдаланудың, өзгертудің және толықтырудың барлық жағдайлары туралы пациентті және (немесе) оның заңды өкілдерін "электрондық үкімет" веб-порталындағы пайдаланушының кабинеті арқылы автоматты режимде хабардар етуді қамтамасыз етеді.

      14. Цифрлық денсаулық сақтау субъектілері талдамалық, статистикалық қызметті, ғылыми және өзге де зерттеулерді жүргізу кезінде Кодекстің 61-бабының 9-тармағына сәйкес дербес медициналық деректердің иесізденуін қамтамасыз етеді.

      15. Цифрлық денсаулық сақтау субъектілері пациенттің және (немесе) оның заңды өкілінің хабардар етілген келісімі болған кезде ғылыми зерттеулер жүргізу, осы мәліметтерді оқу процесінде пайдалану үшін пациенттің медициналық деректерін құрайтын мәліметтерді беруді жүзеге асырады.

      16. Кодекстің 61-бабының 3 және 4-тармақтарында белгіленген жағдайларды қоспағанда, оқыту, кәсіптік, қызметтік және өзге де міндеттерді орындау кезінде белгілі болған адамдардың пациенттің медициналық деректерін құрайтын мәліметтерді жария етуіне жол берілмейді.

      17. Цифрлық денсаулық сақтау субъектісін дербес деректерді жинау және өңдеу жөніндегі талаптардың сақталуы тұрғысынан тексеру үшін пациент және (немесе) оның заңды өкілі дербес деректерді қорғау саласындағы уәкілетті органға жүгінеді.

      18. Дербес медициналық деректерді жинау және өңдеу цифрлық денсаулық сақтау субъектісі дербес медициналық деректерді жинау, өңдеу шарттарын бұза отырып жүргізген дербес медициналық деректер пациенттің және (немесе) оның заңды өкілінің талап етуі бойынша № 395/НҚ бұйрықтың 26 және 27-тармақтарының талаптарына сәйкес жойылуға жатады.

      19. Дербес медициналық деректерді сақтауды цифрлық денсаулық сақтау субъектілері Қазақстан Республикасы Үкіметінің 2016 жылғы 20 желтоқсандағы № 832 қаулысымен (Қазақстан Республикасының ПҮАЖ-ы, 2016 ж., № 65, 428-құжат) бекітілген ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптардың 92-2-тармағына сәйкес Қазақстан Республикасының аумағында физикалық орналастырылған серверлерде жүзеге асырады.

      20. Денсаулық сақтау ұйымдарының есепке алу медициналық құжаттамасы нысандарындағы дербес медициналық деректерді сақтау мерзімі "Денсаулық сақтау саласындағы есепке алу құжаттамасының нысандарын бекіту туралы" Қазақстан Республикасы Денсаулық сақтау министрінің міндетін атқарушының 2020 жылғы 30 қазандағы № ҚР ДСМ-175/2020 бұйрығына (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 21579 болып тіркелген) (бұдан әрі – № 175 Бұйрық) 7-қосымшаға сәйкес жүзеге асырылады.

4-тарау. Цифрлық денсаулық сақтау субъектілерінің дербес медициналық деректерді қорғау және беру тәртібі

      21. Дербес медициналық деректерді қорғау үшін цифрлық денсаулық сақтау субъектілері ақпаратты қорғаудың ұйымдастырушылық және техникалық шараларын қолдану арқылы, сондай-ақ ақпараттық жүйелер мен ақпараттандыру объектілерінің пайдаланылуын бақылауды жүзеге асыру арқылы дербес медициналық деректердің, ақпараттық активтердің құпиялылығын, тұтастығын және қолжетімділігін қорғауды қамтамасыз етеді.

      22. Цифрлық денсаулық сақтау субъектілері ақпараттандыру объектілеріне қол жеткізуді бақылауды көрсетілген іс-әрекеттерді жүзеге асырған пайдаланушы туралы электрондық ақпараттық ресурстарды орналастыру, өзгерту, жою уақыты мен фактілерін есепке алу журналдарында ақпаратты хаттамалау және журналдау арқылы жүзеге асырады.

      23. Цифрлық денсаулық сақтау субъектілері № 175 бұйрыққа сәйкес медициналық құжаттаманы сақтаудың белгіленген мерзімдеріне сәйкес электрондық құжаттар нысанында медициналық құжаттаманың резервтік көшірмесін жасауды, сақтауды орындайды.

      24. Пациент және (немесе) оның заңды өкілі өзінің дербес медициналық деректері туралы ақпаратты алу үшін цифрлық денсаулық сақтау субъектісіне еркін нысандағы өтінішті (сұрау салуды) жазбаша немесе электрондық құжат нысанында қолма-қол кеңсе арқылы, пошта арқылы немесе цифрлық денсаулық сақтау субъектісінің электрондық мекенжайына жібереді.

      25. Цифрлық денсаулық сақтау субъектісі пациенттің және (немесе) оның заңды өкілінің сұрау салуы бойынша өтінішті алған күннен бастап 3 (үш) жұмыс күні ішінде пациентке және (немесе) оның заңды өкіліне:

      дербес медициналық деректердің болу фактісін растауды, дербес медициналық деректердің мақсаттарын, көздерін, жинау және өңдеу тәсілдерін қамтитын ақпаратты ұсынады;

      дербес медициналық деректердің тізбесі;

      дербес медициналық деректерді өңдеу мерзімдері, оның ішінде оларды сақтау мерзімдері.

      26. Ақпарат беруден бас тартылған жағдайда, цифрлық денсаулық сақтау субъектісі өтінішті алған күннен бастап 3 (үш) жұмыс күнінен аспайтын мерзімде пациентке және (немесе) оның заңды өкіліне дәлелді жауап береді.