В территориальных фондах ОМС и страховых медицинских организациях определяется круг лиц из числа работников и внештатных врачей-экспертов, которые в силу своих служебных и профессиональных обязанностей имеют доступ к сведениям, составляющим врачебную тайну. Данные лица включаются в списки, которые утверждаются приказом руководителя территориального фонда ОМС или страховой медицинской организации. Работникам территориального фонда ОМС и страховых медицинских организаций, включенным в упомянутые списки, а также внештатным медицинским экспертам, пользующимся медицинской документацией и другими материалами, содержащими сведения, составляющие врачебную тайну, в силу своих профессиональных обязанностей, выдается специальный вкладыш к служебному удостоверению, дающий право на допуск к данной документации.

Одновременно для обеспечения конфиденциальности сведений, составляющих врачебную тайну, в территориальном фонде ОМС и страховой медицинской организации устанавливается порядок прохождения поступивших в территориальный фонд или страховую медицинскую организацию документов из учреждений и обращений от граждан со сведениями, составляющими врачебную тайну. Данный порядок должен исключать возможность для сторонних лиц, а также работников территориального фонда ОМС или страховой медицинской организации, не имеющих допуск к сведениям, составляющим врачебную тайну, знакомиться и пользоваться поступившими, находящимися на рассмотрении или оставляемыми в фонде ОМС (страховой медицинской организации) документами, содержащими эти сведения, или их копиями.

Пациенты как субъекты персональных данных, в том числе составляющих врачебную тайну, передавая сведения о себе, вправе рассчитывать на соблюдение конфиденциальности при использовании данной информации в медицинских организациях. Это подразумевает не только применение технических средств защиты (специальные сертифицированные программные и технические средства защиты информации[14]), но и проведение комплекса организационных мероприятий, направленных на предотвращение потери, искажения ине-санкционированного доступа к персональным данным.

Указанный комплекс мероприятий должен подразумевать наличие в медицинской организации должностных инструкций, положения об обработке персональных данных, журналов (журнала регистрации используемого программного обеспечения, журнала по учету носителей информации, содержащей персональные данные, журнала учета обращений граждан – субъектов персональных данных, журнала регистрации выявленных нарушений). Должны функционировать регламенты взаимодействия между подразделениями медицинской организации, регламенты использования программного обеспечения, ресурсов сети Интернет, требования к профессиональной подготовке персонала. Медицинские работники должны подписывать обязательства о неразглашении данных.[15]

Приказом руководителя (главного врача) медицинской организации из числа работников назначается ответственный за организацию обработки персональных данных. В его обязанности входит контроль за соблюдением оператором и сотрудниками медицинской организации законодательства о персональных данных и требований к их защите; доведение до сведения сотрудников положений законодательства и иных актов, в т. ч. локальных актов организации, регламентирующих процесс обработки персональных данных; организация приема и обработки обращений и запросов субъектов персональных данных.

Активно разрабатываемые медицинскими организациями электронные истории болезни