В соответствии с подпунктом 3) статьи 58 Кодекса Республики Казахстан от 7 июля 2020 года "О здоровье народа и системе здравоохранения" ПРИКАЗЫВАЮ:
1. Утвердить прилагаемые правила осуществления сбора, обработки, хранения, защиты и предоставления персональных медицинских данных субъектами цифрового здравоохранения.
2. Департаменту развития электронного здравоохранения Министерства здравоохранения Республики Казахстан в установленном законодательством Республики Казахстан порядке обеспечить:
1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;
2) размещение настоящего приказа на интернет-ресурсе Министерства здравоохранения Республики Казахстан после его официального опубликования;
3) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства здравоохранения Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1) и 2) настоящего пункта.
3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра здравоохранения Республики Казахстан.
4. Настоящий приказ вводится в действие по истечении десяти календарных дня после дня его первого официального опубликования.
|
Министр здравоохранения Республики Казахстан |
А. Цой |
"СОГЛАСОВАНО"
Министерство цифрового
развития, инноваций и
аэрокосмической промышленности
Республики Казахстан
| Утверждены приказом Қазақстан Республикасы Денсаулық сақтау министрі 2021 жылғы 14 сәуірдегі № ҚР ДСМ -30 |
Правила осуществления сбора, обработки, хранения, защиты и предоставления персональных медицинских данных субъектами цифрового здравоохранения
Глава 1. Общие положения
1. Настоящие правила осуществления сбора, обработки, хранения, защиты и предоставления персональных медицинских данных субъектами цифрового здравоохранения (далее – Правила) разработаны в соответствии с подпунктом 3) статьи 58 Кодекса Республики Казахстан от 7 июля 2020 года "О здоровье народа и системе здравоохранения" (далее – Кодекс) и определяют порядок сбора, обработки, хранения, защиты и предоставления персональных медицинских данных.
2. В настоящих Правилах используются следующие понятия:
1) медицинская информационная система – информационная система, обеспечивающая ведение процессов субъектов здравоохранения в электронном формате;
2) сбор персональных данных – действия, направленные на получение персональных данных;
3) обработка персональных данных – действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных;
4) персональные медицинские данные – персональные данные, содержащие сведения о здоровье физического лица и оказанных ему медицинских услугах, зафиксированные на электронных, бумажных или иных материальных носителях;
5) уполномоченный орган в сфере защиты персональных данных – центральный исполнительный орган, осуществляющий руководство в сфере защиты персональных данных;
6) медицинский работник – физическое лицо, имеющее профессиональное медицинское образование и осуществляющее медицинскую деятельность;
7) пациент – физическое лицо, являющееся (являвшееся) потребителем медицинских услуг независимо от наличия или отсутствия у него заболевания или состояния, требующего оказания медицинской помощи;
8) информированное согласие – процедура письменного добровольного подтверждения лицом своего согласия на получение медицинской помощи и (или) участие в конкретном исследовании после получения информации обо всех значимых для принятия им решения аспектах медицинской помощи и (или) исследования. Информированное письменное согласие оформляется по форме, утвержденной уполномоченным органом;
9) субъектцифрового здравоохранения – физические и юридические лица, государственные органы, осуществляющие деятельность или вступающие в общественные отношения в области цифрового здравоохранения;
10) тайна медицинского работника – персональные медицинские данные, информация о факте обращения за медицинской помощью, состоянии здоровья лица, диагнозе его заболевания и иные сведения, полученные при его обследовании и (или) лечении.
3. Сбор, обработка, хранение и предоставление персональных медицинских данных субъектами цифрового здравоохранения осуществляются в случаях обеспечения их защиты в соответствии с требованиями Закона Республики Казахстан от 21 мая 2013 года "О персональных данных и их защите".
4. Сбор, обработка, хранение и предоставление персональных медицинских данных для формирования электронных медицинских записей, содержащих персональные медицинские данные, осуществляются в рамках оказания медицинской помощи с учетом информированного согласия пациента на получение медицинской помощи в соответствии с пунктом 1 статьи 60 Кодекса.
Глава 2. Порядок сбора персональных медицинских данных субъектами цифрового здравоохранения
5. Для сбора персональных медицинских данных субъект цифрового здравоохранения запрашивает согласие пациента и (или) его законного представителя на сбор, обработку, отнесенных к нему персональных данных в порядке, определяемом Правилами сбора, обработки персональных данных, утвержденными Приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 21 октября 2020 года № 395/НҚ (зарегистрирован в Реестре государственной регистрации нормативных правовых актов под № 147734) (далее – Приказ № 395/НҚ).
6. Пациент и (или) его законный представитель дает согласие на сбор и обработку персональных медицинских данных в письменной форме, в форме электронного документа или путем передачи через кабинет пользователя на веб-портале "электронного правительства".
7. Пациент и (или) его законный представитель согласно пункту 2 статьи 24 Закона Республики Казахстан от 21 мая 2013 года "О персональных данных и их защите" предоставляет свои персональные медицинские данные субъекту цифрового здравоохранения в целях оказания медицинской помощи.
8. Сбор персональных медицинских данных субъектом цифрового здравоохранения осуществляется со слов пациента и (или) его законного представителя, из документов, медицинской документации, предоставленных пациентом и (или) его законным представителем и (или) с использованием информационно-коммуникационных технологий и (или) объектов информатизации.
9. При оказании медицинской помощи медицинский работник документирует информацию (электронные медицинские записи, сопутствующие материалы о состоянии здоровья и диагнозе пациента) в медицинские информационные системы, в том числе полученное информированное согласие пациента и (или) его законного представителя на получение медицинской помощи с использованием электронной цифровой подписи медицинского работника.
Глава 3. Порядок обработки и хранения персональных медицинских данных субъектами цифрового здравоохранения
10. Обработка персональных медицинских данных производится субъектом цифрового здравоохранения путем внесения изменений и (или) дополнений, использования, распространения, обезличивания, блокирования и уничтожения медицинских данных пациента.
11. Обработка персональных медицинских данных пациентов осуществляется субъектами цифрового здравоохранения исключительно для оказания медицинской помощи.
12. Субъект цифрового здравоохранения по инициативе пациента и (или) его законного представителя при наличии оснований, подтвержденных соответствующими документами в течение трех рабочих дней со дня поступления обращения, вносит изменения и (или) дополнения в персональные медицинские данные пациента.
13. Субъекты цифрового здравоохранения обеспечивают уведомление пациента и (или) его законного представителей через кабинет пользователя на веб-портале "электронного правительства" в автоматическом режиме обо всех случаях использования, изменения и дополнения персональных медицинских данных в рамках информационного взаимодействия при условии регистрации субъектов персональных данных на веб-портале "электронного правительства".
14. Субъекты цифрового здравоохранения при проведении аналитической, статистической деятельности, научных и иных исследований обеспечивают обезличивание персональных медицинских данных согласно пункту 9 статьи 61 Кодекса.
15. Субъекты цифрового здравоохранения осуществляют передачу сведений, составляющих медицинские данные пациента, для проведения научных исследований, использования этих сведений в учебном процессе при наличии информированного согласия пациента и (или) его законного представителя.
16. Не допускается разглашение сведений, составляющих медицинские данные пациента, лицами, которым они стали известны при обучении, исполнении профессиональных, служебных и иных обязанностей, кроме случаев, установленных пунктами 3 и 4 статьи 61 Кодекса.
17. Для проверки субъекта цифрового здравоохранения на предмет соблюдения требований по сбору и обработке персональных данных пациент и (или) его законный представитель обращается в уполномоченный орган в сфере защиты персональных данных.
18. Персональные медицинские данные, сбор и обработка которых произведены субъектом цифрового здравоохранения с нарушением условий сбора, обработки персональных медицинских данных, по требованию пациента и (или) его законного представителя подлежат уничтожению в соответствии с требованиями пунктов 26 и 27 Приказа № 395/НҚ.
19. Хранение персональных медицинских данных осуществляется субъектами цифрового здравоохранения на серверах, которые физически размещены на территории Республики Казахстан в соответствии с пунктом 92-2 Единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утвержденных постановлением Правительства Республики Казахстан от 20 декабря 2016 года № 832 (САПП Республики Казахстан, 2016 г., № 65 ст. 428).
20. Срок хранения персональных медицинских данных в формах учетной медицинской документации организаций здравоохранения осуществляется в соответствии с Приложением 7 к приказу исполняющего обязанности Министра здравоохранения Республики Казахстан от 30 октября 2020 года № ҚР ДСМ-175/2020 "Об утверждении форм учетной документации в области здравоохранения" (зарегистрирован в Реестре государственной регистрации нормативных правовых актов под № 21579) (далее – Приказ № 175).
Глава 4. Порядок защиты и предоставления персональных медицинских данных субъектами цифрового здравоохранения
21. Для защиты персональных медицинских данных субъекты цифрового здравоохранения обеспечивают защиту конфиденциальности, целостности и доступности персональных медицинских данных, информационных активов, посредством применения организационных и технических мер защиты информации, а также посредством осуществления контроля за эксплуатацией информационных систем и объектов информатизации.
22. Субъекты цифрового здравоохранения осуществляют контроль за доступом к объектам информатизации путем протоколирования и журналирования информации в журналах учета времени и фактов размещения, изменения, удаления электронных информационных ресурсов о пользователе, осуществившем указанные действия.
23. Субъекты цифрового здравоохранения выполняют резервное копирование, хранение медицинской документации в форме электронных документов в соответствии с установленными сроками хранения медицинской документации согласно Приказу № 175.
24. Пациент и (или) его законный представитель для получения информации о своих персональных медицинских данных направляет обращение (запрос) в произвольной форме субъекту цифрового здравоохранения письменно или в форме электронного документа нарочно через канцелярию, по почте или на электронный адрес субъекта цифрового здравоохранения.
25. Субъект цифрового здравоохранения по запросу пациента и (или) его законного представителя в течение 3 (трех) рабочих дней со дня получения обращения предоставляет информацию пациенту и (или) его законному представителю, содержащую:
подтверждение факта наличия персональных медицинских данных, цели, источники, способы сбора и обработки персональных медицинских данных;
перечень персональных медицинских данных;
сроки обработки персональных медицинских данных, в том числе сроки их хранения.
26. В случае отказа в предоставлении информации, субъект цифрового здравоохранения в срок, не превышающий 3 (трех) рабочих дней со дня получения обращения, представляет мотивированный ответ пациенту и (или) его законному представителю.