В соответствии с подпунктом 3) статьи 58 Кодекса Республики Казахстан от 7 июля 2020 года «О здоровье народа и системе здравоохранения» ПРИКАЗЫВАЮ:

1. Утвердить прилагаемые правила осуществления сбора, обработки, хранения, защиты и предоставления персональных медицинских данных субъектами цифрового здравоохранения.

2. Департаменту развития электронного здравоохранения Министерства здравоохранения Республики Казахстан в установленном законодательством Республики Казахстан порядке обеспечить:

1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

2) размещение настоящего приказа на интернет-ресурсе Министерства здравоохранения Республики Казахстан после его официального опубликования;

3) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан представление в Юридический департамент Министерства здравоохранения Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1) и 2) настоящего пункта.

3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра здравоохранения Республики Казахстан.

4. Настоящий приказ вводится в действие по истечении десяти календарных дня после дня его первого официального опубликования.

Министр здравоохранения Республики Казахстан А. Цой

«СОГЛАСОВАНО»
Министерство цифрового развития, инноваций и
аэрокосмической промышленности Республики Казахстан

Утверждены

приказом Қазақстан Республикасы Денсаулық сақтау министрі

2021 жылғы 14 сәуірдегі № ҚР ДСМ -30

Правила осуществления сбора, обработки, хранения, защиты и предоставления персональных медицинских данных субъектами цифрового здравоохранения

Глава 1. Общие положения

1. Настоящие правила осуществления сбора, обработки, хранения, защиты и предоставления персональных медицинских данных субъектами цифрового здравоохранения (далее – Правила) разработаны в соответствии с подпунктом 3) статьи 58 Кодекса Республики Казахстан от 7 июля 2020 года «О здоровье народа и системе здравоохранения» (далее – Кодекс) и определяют порядок сбора, обработки, хранения, защиты и предоставления персональных медицинских данных.

2. В настоящих Правилах используются следующие понятия:

1) медицинская информационная система – информационная система, обеспечивающая ведение процессов субъектов здравоохранения в электронном формате;

2) сбор персональных данных – действия, направленные на получение персональных данных;

3) обработка персональных данных – действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных;

4) персональные медицинские данные – персональные данные, содержащие сведения о здоровье физического лица и оказанных ему медицинских услугах, зафиксированные на электронных, бумажных или иных материальных носителях;

5) уполномоченный орган в сфере защиты персональных данных – центральный исполнительный орган, осуществляющий руководство в сфере защиты персональных данных;

6) медицинский работник – физическое лицо, имеющее профессиональное медицинское образование и осуществляющее медицинскую деятельность;

7) пациент – физическое лицо, являющееся (являвшееся) потребителем медицинских услуг независимо от наличия или отсутствия у него заболевания или состояния, требующего оказания медицинской помощи;

8) информированное согласие – процедура письменного добровольного подтверждения лицом своего согласия на получение медицинской помощи и (или) участие в конкретном исследовании после получения информации обо всех значимых для принятия им решения аспектах медицинской помощи и (или) исследования. Информированное письменное согласие оформляется по форме, утвержденной уполномоченным органом;

9) субъектцифрового здравоохранения – физические и юридические лица, государственные органы, осуществляющие деятельность или вступающие в общественные отношения в области цифрового здравоохранения;

10) тайна медицинского работника – персональные медицинские данные, информация о факте обращения за медицинской помощью, состоянии здоровья лица, диагнозе его заболевания и иные сведения, полученные при его обследовании и (или) лечении.

3. Сбор, обработка, хранение и предоставление персональных медицинских данных субъектами цифрового здравоохранения осуществляются в случаях обеспечения их защиты в соответствии с требованиями Закона Республики Казахстан от 21 мая 2013 года «О персональных данных и их защите».

4. Сбор, обработка, хранение и предоставление персональных медицинских данных для формирования электронных медицинских записей, содержащих персональные медицинские данные, осуществляются в рамках оказания медицинской помощи с учетом информированного согласия пациента на получение медицинской помощи в соответствии с пунктом 1 статьи 60 Кодекса.

Глава 2. Порядок сбора персональных медицинских данных субъектами цифрового здравоохранения

5. Для сбора персональных медицинских данных субъект цифрового здравоохранения запрашивает согласие пациента и (или) его законного представителя на сбор, обработку, отнесенных к нему персональных данных в порядке, определяемом Правилами сбора, обработки персональных данных, утвержденными Приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 21 октября 2020 года № 395/НҚ (зарегистрирован в Реестре государственной регистрации нормативных правовых актов под № 147734) (далее – Приказ № 395/НҚ).

6. Пациент и (или) его законный представитель дает согласие на сбор и обработку персональных медицинских данных в письменной форме, в форме электронного документа или путем передачи через кабинет пользователя на веб- портале «электронного правительства».

7. Пациент и (или) его законный представитель согласно пункту 2 статьи 24 Закона Республики Казахстан от 21 мая 2013 года «О персональных данных и их защите» предоставляет свои персональные медицинские данные субъекту цифрового здравоохранения в целях оказания медицинской помощи.

8. Сбор персональных медицинских данных субъектом цифрового здравоохранения осуществляется со слов пациента и (или) его законного представителя, из документов, медицинской документации, предоставленных пациентом и (или) его законным представителем и (или) с использованием информационно-коммуникационных технологий и (или) объектов информатизации.

9. При оказании медицинской помощи медицинский работник документирует информацию (электронные медицинские записи, сопутствующие материалы о состоянии здоровья и диагнозе пациента) в медицинские информационные системы, в том числе полученное информированное согласие пациента и (или) его законного представителя на получение медицинской помощи с использованием электронной цифровой подписи медицинского работника.

Глава 3. Порядок обработки и хранения персональных медицинских данных субъектами цифрового здравоохранения

10. Обработка персональных медицинских данных производится субъектом цифрового здравоохранения путем внесения изменений и (или) дополнений, использования, распространения, обезличивания, блокирования и уничтожения медицинских данных пациента.

11. Обработка персональных медицинских данных пациентов осуществляется субъектами цифрового здравоохранения исключительно для оказания медицинской помощи.

12. Субъект цифрового здравоохранения по инициативе пациента и (или) его законного представителя при наличии оснований, подтвержденных соответствующими документами в течение трех рабочих дней со дня поступления обращения, вносит изменения и (или) дополнения в персональные медицинские данные пациента.

13. Субъекты цифрового здравоохранения обеспечивают уведомление пациента и (или) его законного представителей через кабинет пользователя на веб- портале «электронного правительства» в автоматическом режиме обо всех случаях использования, изменения и дополнения персональных медицинских данных в рамках информационного взаимодействия при условии регистрации субъектов персональных данных на веб-портале «электронного правительства».

14. Субъекты цифрового здравоохранения при проведении аналитической, статистической деятельности, научных и иных исследований обеспечивают обезличивание персональных медицинских данных согласно пункту 9 статьи 61 Кодекса.

15. Субъекты цифрового здравоохранения осуществляют передачу сведений, составляющих медицинские данные пациента, для проведения научных исследований, использования этих сведений в учебном процессе при наличии информированного согласия пациента и (или) его законного представителя.

16. Не допускается разглашение сведений, составляющих медицинские данные пациента, лицами, которым они стали известны при обучении, исполнении профессиональных, служебных и иных обязанностей, кроме случаев, установленных пунктами 3 и 4 статьи 61 Кодекса.

17. Для проверки субъекта цифрового здравоохранения на предмет соблюдения требований по сбору и обработке персональных данных пациент и (или) его законный представитель обращается в уполномоченный орган в сфере защиты персональных данных.

18. Персональные медицинские данные, сбор и обработка которых произведены субъектом цифрового здравоохранения с нарушением условий сбора, обработки персональных медицинских данных, по требованию пациента и (или) его законного представителя подлежат уничтожению в соответствии с требованиями пунктов 26 и 27 Приказа № 395/НҚ.

19. Хранение персональных медицинских данных осуществляется субъектами цифрового здравоохранения на серверах, которые физически размещены на территории Республики Казахстан в соответствии с пунктом 92-2 Единых требований в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утвержденных постановлением Правительства Республики Казахстан от 20 декабря 2016 года № 832 (САПП Республики Казахстан, 2016 г., № 65 ст. 428).20. Срок хранения персональных медицинских данных в формах учетной медицинской документации организаций здравоохранения осуществляется в соответствии с Приложением 7 к приказу исполняющего обязанности Министра здравоохранения Республики Казахстан от 30 октября 2020 года № ҚР ДСМ-175/2020 «Об утверждении форм учетной документации в области здравоохранения» (зарегистрирован в Реестре государственной регистрации нормативных правовых актов под № 21579) (далее – Приказ № 175).

Глава 4. Порядок защиты и предоставления персональных медицинских данных субъектами цифрового здравоохранения

21. Для защиты персональных медицинских данных субъекты цифрового здравоохранения обеспечивают защиту конфиденциальности, целостности и доступности персональных медицинских данных, информационных активов, посредством применения организационных и технических мер защиты информации, а также посредством осуществления контроля за эксплуатацией информационных систем и объектов информатизации.

22. Субъекты цифрового здравоохранения осуществляют контроль за доступом к объектам информатизации путем протоколирования и журналирования информации в журналах учета времени и фактов размещения, изменения, удаления электронных информационных ресурсов о пользователе, осуществившем указанные действия.

23. Субъекты цифрового здравоохранения выполняют резервное копирование, хранение медицинской документации в форме электронных документов в соответствии с установленными сроками хранения медицинской документации согласно Приказу № 175.

24. Пациент и (или) его законный представитель для получения информации о своих персональных медицинских данных направляет обращение (запрос) в произвольной форме субъекту цифрового здравоохранения письменно или в форме электронного документа нарочно через канцелярию, по почте или на электронный адрес субъекта цифрового здравоохранения.

25. Субъект цифрового здравоохранения по запросу пациента и (или) его законного представителя в течение 3 (трех) рабочих дней со дня получения обращения предоставляет информацию пациенту и (или) его законному представителю, содержащую:

подтверждение факта наличия персональных медицинских данных, цели, источники, способы сбора и обработки персональных медицинских данных;

перечень персональных медицинских данных;

сроки обработки персональных медицинских данных, в том числе сроки их хранения.

26. В случае отказа в предоставлении информации, субъект цифрового здравоохранения в срок, не превышающий 3 (трех) рабочих дней со дня получения обращения, представляет мотивированный ответ пациенту и (или) его законному представителю.

Зарегистрирован в Министерстве юстиции Республики Казахстан 15 апреля 2021 года № 22550.