В соответствии с подпунктом 3) статьи 58 Кодекса Республики Казахстан "О здоровье народа и системе здравоохранения" ПРИКАЗЫВАЮ:
Сноска. Преамбула - в редакции приказа Министра здравоохранения РК от 02.03.2023 № 32 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).1. Утвердить прилагаемые правила осуществления сбора, обработки, хранения, защиты и предоставления персональных медицинских данных субъектами цифрового здравоохранения.
2. Департаменту развития электронного здравоохранения Министерства здравоохранения Республики Казахстан в установленном законодательством Республики Казахстан порядке обеспечить:
1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;
2) размещение настоящего приказа на интернет-ресурсе Министерства здравоохранения Республики Казахстан после его официального опубликования;
3) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства здравоохранения Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1) и 2) настоящего пункта.
3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра здравоохранения Республики Казахстан.
4. Настоящий приказ вводится в действие по истечении десяти календарных дня после дня его первого официального опубликования.
Министр здравоохранения Республики Казахстан |
А. Цой |
"СОГЛАСОВАНО"
Министерство цифрового
развития, инноваций и
аэрокосмической промышленности
Республики Казахстан
Утверждены приказом Қазақстан Республикасы Денсаулық сақтау министрі 2021 жылғы 14 сәуірдегі № ҚР ДСМ -30 |
Правила осуществления сбора, обработки, хранения, защиты и предоставления персональных медицинских данных субъектами цифрового здравоохранения
Глава 1. Общие положения
1. Настоящие правила осуществления сбора, обработки, хранения, защиты и предоставления персональных медицинских данных субъектами цифрового здравоохранения (далее – Правила) разработаны в соответствии с подпунктом 3) статьи 58 Кодекса Республики Казахстан "О здоровье народа и системе здравоохранения" (далее – Кодекс) и определяют порядок сбора, обработки, хранения, защиты и предоставления персональных медицинских данных.
Сноска. Пункт 1 - в редакции приказа Министра здравоохранения РК от 02.03.2023 № 32 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).2. В настоящих Правилах используются следующие понятия:
1) сбор персональных данных – действия, направленные на получение персональных данных;
2) обработка персональных данных – действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных;
3) агрегатор персональных медицинских данных – оператор персональных данных, осуществляющий сбор, обработку, хранение, защиту и предоставление персональных медицинских данных в соответствии с правилами, утвержденными уполномоченным органом;
4) персональные медицинские данные – персональные данные, содержащие сведения о здоровье физического лица и оказанных ему медицинских услугах, зафиксированные на электронных, бумажных или иных материальных носителях;
5) уполномоченный орган в области здравоохранения (далее – уполномоченный орган) – центральный исполнительный орган, осуществляющий руководство и межотраслевую координацию в области охраны здоровья граждан Республики Казахстан, медицинской и фармацевтической науки, медицинского и фармацевтического образования, санитарно-эпидемиологического благополучия населения, обращения лекарственных средств и медицинских изделий, качества оказания медицинских услуг (помощи);
6) уполномоченный орган в сфере защиты персональных данных – центральный исполнительный орган, осуществляющий руководство в сфере защиты персональных данных;
7) медицинский работник – физическое лицо, имеющее профессиональное медицинское образование и осуществляющее медицинскую деятельность;
8) тайна медицинского работника – персональные медицинские данные, информация о факте обращения за медицинской помощью, состоянии здоровья лица, диагнозе его заболевания и иные сведения, полученные при его обследовании и (или) лечении;
9) медицинская информационная система – информационная система, обеспечивающая ведение процессов субъектов здравоохранения в электронном формате;
10) пациент – физическое лицо, являющееся (являвшееся) потребителем медицинских услуг независимо от наличия или отсутствия у него заболевания или состояния, требующего оказания медицинской помощи;
11) информированное согласие – процедура письменного добровольного подтверждения лицом своего согласия на получение медицинской помощи и (или) участие в конкретном исследовании после получения информации обо всех значимых для принятия им решения аспектах медицинской помощи и (или) исследования. Информированное письменное согласие оформляется по форме, утвержденной уполномоченным органом;
12) субъект цифрового здравоохранения – физические и юридические лица, государственные органы, осуществляющие деятельность или вступающие в общественные отношения в области цифрового здравоохранения.
Сноска. Пункт 2 - в редакции приказа Министра здравоохранения РК от 02.03.2023 № 32 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).3. Сбор, обработка, хранение и предоставление персональных медицинских данных субъектами цифрового здравоохранения осуществляются в случаях обеспечения их защиты в соответствии с требованиями Закона Республики Казахстан от 21 мая 2013 года "О персональных данных и их защите".
4. Сбор, обработка, хранение и предоставление персональных медицинских данных для формирования электронных медицинских записей, содержащих персональные медицинские данные, осуществляются в рамках оказания медицинской помощи с учетом информированного согласия пациента на получение медицинской помощи в соответствии с пунктом 1 статьи 60 Кодекса.
Уполномоченный орган определяет агрегатора персональных медицинских данных в лице подведомственной организации которая осуществляет совершенствование медицинской статистики. Агрегация используемых медицинских данных в обезличенном виде осуществляется для статистического наблюдения в области здравоохранения, в соответствии со статьей 75 Кодекса.
Сноска. Пункт 4 - в редакции приказа Министра здравоохранения РК от 02.03.2023 № 32 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).Глава 2. Порядок сбора персональных медицинских данных субъектами цифрового здравоохранения
5. Для сбора персональных медицинских данных субъект цифрового здравоохранения запрашивает согласие пациента и (или) его законного представителя на сбор, обработку, отнесенных к нему персональных данных в порядке, определяемом Правилами сбора, обработки персональных данных, утвержденными Приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 21 октября 2020 года № 395/НҚ (зарегистрирован в Реестре государственной регистрации нормативных правовых актов под № 147734) (далее – Приказ № 395/НҚ).
6. Пациент и (или) его законный представитель дает согласие на сбор и обработку персональных медицинских данных в письменной форме, в форме электронного документа или путем передачи через кабинет пользователя на веб-портале "электронного правительства".
7. Пациент и (или) его законный представитель согласно пункту 2 статьи 24 Закона Республики Казахстан от 21 мая 2013 года "О персональных данных и их защите" предоставляет свои персональные медицинские данные субъекту цифрового здравоохранения в целях оказания медицинской помощи.
8. Сбор персональных медицинских данных субъектом цифрового здравоохранения осуществляется со слов пациента и (или) его законного представителя, из документов, медицинской документации, предоставленных пациентом и (или) его законным представителем и (или) с использованием информационно-коммуникационных технологий и (или) объектов информатизации.
9. При оказании медицинской помощи медицинский работник документирует информацию (электронные медицинские записи, сопутствующие материалы о состоянии здоровья и диагнозе пациента) в медицинские информационные системы, в том числе полученное информированное согласие пациента и (или) его законного представителя на получение медицинской помощи с использованием электронной цифровой подписи медицинского работника.
Глава 3. Порядок обработки и хранения персональных медицинских данных субъектами цифрового здравоохранения
10. Обработка персональных медицинских данных производится субъектом цифрового здравоохранения путем внесения изменений и (или) дополнений, использования, распространения, обезличивания, блокирования и уничтожения медицинских данных пациента.
11. Обработка персональных медицинских данных пациентов осуществляется субъектами цифрового здравоохранения исключительно для оказания медицинской помощи.
12. Субъект цифрового здравоохранения по инициативе пациента и (или) его законного представителя при наличии оснований, подтвержденных соответствующими документами в течение трех рабочих дней со дня поступления обращения, вносит изменения и (или) дополнения в персональные медицинские данные пациента.
13. Субъекты цифрового здравоохранения обеспечивают уведомление пациента и (или) его законного представителей через кабинет пользователя на веб-портале "электронного правительства" в автоматическом режиме обо всех случаях использования, изменения и дополнения персональных медицинских данных в рамках информационного взаимодействия при условии регистрации субъектов персональных данных на веб-портале "электронного правительства".
14. Субъекты цифрового здравоохранения при проведении аналитической, статистической деятельности, научных и иных исследований обеспечивают обезличивание персональных медицинских данных согласно пункту 9 статьи 61 Кодекса.
15. Субъекты цифрового здравоохранения осуществляют передачу сведений, составляющих медицинские данные пациента, для проведения научных исследований, использования этих сведений в учебном процессе при наличии информированного согласия пациента и (или) его законного представителя.
16. Не допускается разглашение сведений, составляющих медицинские данные пациента, лицами, которым они стали известны при обучении, исполнении профессиональных, служебных и иных обязанностей, кроме случаев, установленных пунктами 3 и 4 статьи 61 Кодекса.
17. Для проверки субъекта цифрового здравоохранения на предмет соблюдения требований по сбору и обработке персональных данных пациент и (или) его законный представитель обращается в уполномоченный орган в сфере защиты персональных данных.
18. Персональные медицинские данные, сбор и обработка которых произведены субъектом цифрового здравоохранения с нарушением условий сбора, обработки персональных медицинских данных, по требованию пациента и (или) его законного представителя подлежат уничтожению в соответствии с требованиями пунктов 26 и 27 Приказа № 395/НҚ.
19. Хранение персональных медицинских данных осуществляется субъектами цифрового здравоохранения на серверах, которые физически размещены на территории Республики Казахстан в соответствии с пунктом 92-2 постановления Правительства Республики Казахстан от 20 декабря 2016 года № 832 "Об утверждении единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности".
Сноска. Пункт 19 - в редакции приказа Министра здравоохранения РК от 02.03.2023 № 32 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).20. Срок хранения персональных медицинских данных в формах учетной медицинской документации организаций здравоохранения осуществляется в соответствии с Приложением 7 к приказу исполняющего обязанности Министра здравоохранения Республики Казахстан от 30 октября 2020 года № ҚР ДСМ-175/2020 "Об утверждении форм учетной документации в области здравоохранения, а также инструкций по их заполнению" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов под № 21579) (далее – Приказ № 175).
Сноска. Пункт 20 - в редакции приказа Министра здравоохранения РК от 02.03.2023 № 32 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).Глава 4. Порядок защиты и предоставления персональных медицинских данных субъектами цифрового здравоохранения
21. Для защиты персональных медицинских данных субъекты цифрового здравоохранения обеспечивают защиту конфиденциальности, целостности и доступности персональных медицинских данных, информационных активов, посредством применения организационных и технических мер защиты информации, а также посредством осуществления контроля за эксплуатацией информационных систем и объектов информатизации.
22. Субъекты цифрового здравоохранения осуществляют контроль за доступом к объектам информатизации путем протоколирования и журналирования информации в журналах учета времени и фактов размещения, изменения, удаления электронных информационных ресурсов о пользователе, осуществившем указанные действия.
23. Субъекты цифрового здравоохранения выполняют резервное копирование, хранение медицинской документации в форме электронных документов в соответствии с установленными сроками хранения медицинской документации согласно Приказу № 175.
24. Пациент и (или) его законный представитель для получения информации о своих персональных медицинских данных направляет обращение (запрос) в произвольной форме субъекту цифрового здравоохранения письменно или в форме электронного документа нарочно через канцелярию, по почте или на электронный адрес субъекта цифрового здравоохранения.
25. Субъект цифрового здравоохранения по запросу пациента и (или) его законного представителя в течение 3 (трех) рабочих дней со дня получения обращения предоставляет информацию пациенту и (или) его законному представителю, содержащую:
подтверждение факта наличия персональных медицинских данных, цели, источники, способы сбора и обработки персональных медицинских данных;
перечень персональных медицинских данных;
сроки обработки персональных медицинских данных, в том числе сроки их хранения.
26. В случае отказа в предоставлении информации, субъект цифрового здравоохранения в срок, не превышающий 3 (трех) рабочих дней со дня получения обращения, представляет мотивированный ответ пациенту и (или) его законному представителю.
Глава 5. Порядок агрегации используемых персональных медицинских данных в обезличенном виде
Сноска. Правила дополнены главой 5 в соответствии с приказом Министра здравоохранения РК от 02.03.2023 № 32 (вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования).
27. Для проведения статистического наблюдения осуществляется обезличивание персональных данных согласно пункту 9 статьи 61 Кодекса.
28. Агрегацию персональных медицинских данных в целях формирования сводной статистической информации, проведение контроля достоверности и качества представляемой информации при включении в базу данных статистических показателей, включая идентификацию и расшифровку единиц значений форм статистического наблюдения осуществляет агрегатор для оказания соответствующих информационно-коммуникационных услуг.
29. Порядок осуществления статистического наблюдения в области здравоохранения, формы статистического учета и отчетности в области здравоохранения, порядок их ведения, заполнения и сроки представления устанавливаются приказом Министра здравоохранения Республики Казахстан от 7 декабря 2020 года № ҚР ДСМ-235/2020 "Об утверждении правил осуществления статистического наблюдения в области здравоохранения, формы статистического учета и отчетности в области здравоохранения, порядка их ведения, заполнения и сроков представления" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов под № 21735).