Қазақстан Республикасы Денсаулық сақтау министрінің "Цифрлық денсаулық сақтау субъектілерінің қол жеткізу құқықтарының аражігін ажырату қағидаларын бекіту туралы" бұйрығы

Қазақстан Республикасы Денсаулық сақтау министрінің 2021 жылғы 23 маусымдағы № ҚР ДСМ-54 бұйрығы. Қазақстан Республикасының Әділет министрлігінде 2021 жылғы 8 шiлдеде № 23370 болып тіркелді

      "Халық денсаулығы және денсаулық сақтау жүйесі туралы" Қазақстан Республикасының 2020 жылғы 7 шілдедегі Кодексі 61-бабының 4-тармағына және 58-бабының 12) тармақшасына сәйкес БҰЙЫРАМЫН:

      1. Осы бұйрыққа қосымшаға сәйкес Цифрлық денсаулық сақтау субъектілерінің қол жеткізу құқықтарының аражігін ажырату қағидалары бекітілсін.

      2. Қазақстан Республикасы Денсаулық сақтау министрлігінің Электрондық денсаулық сақтауды дамыту департаменті:

      1) осы бұйрықты Қазақстан Республикасы Әділет министрлігінде мемлекеттік тіркеуді;

      2) осы бұйрықты Қазақстан Республикасы Денсаулық сақтау министрлігінің интернет-ресурсында орналастыруды;

      3) осы бұйрықты Қазақстан Республикасы Әділет министрлігінде мемлекеттік тіркегеннен кейін он жұмыс күні ішінде Қазақстан Республикасы Денсаулық сақтау министрлігінің Заң департаментіне осы тармақтың 1) және 2) тармақшаларында көзделген іс-шаралардың орындалуы туралы мәліметтерді ұсынуды қамтамасыз етсін.

      3. Осы бұйрықтың орындалуын бақылау жетекшілік ететін Қазақстан Республикасының Денсаулық сақтау вице-министріне жүктелсін.

      4. Осы бұйрық алғашқы ресми жарияланған күнінен кейін күнтізбелік он күн өткен соң қолданысқа енгізіледі.

      Қазақстан Республикасы
Денсаулық сақтау министрі
А. Цой

      "КЕЛІСІЛДІ"

      Қазақстан Республикасы

      Цифрлық даму, иновациялар және

      аэроғарыш өнеркәсібі министрлігі

  Қазақстан Республикасы
Денсаулық сақтау министрі
2021 жылғы 23 маусымдағы
№ ҚР ДСМ-54 бұйрықпен
бекітілген

Цифрлық денсаулық сақтау субъектілерінің қол жеткізу құқықтарының аражігін ажырату қағидалары

1-тарау. Жалпы ережелер

      1. Осы Цифрлық денсаулық сақтау субъектілерінің қол жеткізу құқықтарының аражігін ажырату қағидалары (бұдан әрі – Қағидалар) "Халық денсаулығы және денсаулық сақтау жүйесі туралы" Қазақстан Республикасының 2020 жылғы 7 шілдедегі Кодексі (бұдан әрі – Кодекс) 61-бабының 4-тармағына және 58-бабының 12) тармақшасына, "Дербес деректер және оларды қорғау туралы" Қазақстан Республикасының 2013 жылғы 21 мамырдағы Заңына (бұдан әрі – Заң), сондай-ақ Қазақстан Республикасы Үкіметінің 2016 жылғы 20 желтоқсандағы № 832 қаулысымен бекітілген Ақпараттық-коммуникациялық технологиялар және ақпараттық қауіпсіздікті қамтамасыз ету саласындағы бірыңғай талаптарға (Қазақстан Республикасының ПҮАЖ-ы, 2016 жылғы, № 65, 428-құжат) (бұдан әрі – Бірыңғай талаптар) сәйкес әзірленген және цифрлық денсаулық сақтау субъектілерінің қол жеткізу құқықтарының аражігін ажырату тәртібін айқындайды.

      2. Осы Қағидаларда пайдаланылатын негізгі ұғымдар мен терминдер:

      1) денсаулық сақтау ұйымы – денсаулық сақтау саласындағы қызметті жүзеге асыратын заңды тұлға;

      2) денсаулық сақтаудың ақпараттық жүйелері – медициналық ақпараттық жүйелерді, мобильді денсаулық сақтау технологияларын, телемедициналық технологияларды қоса алғанда, электрондық денсаулық сақтау жүйесінің инфрақұрылымын құрайтын ақпараттық-коммуникациялық технологиялар;

      3) дербес деректердi өңдеу – дербес деректерді жинақтауға, сақтауға, өзгертуге, толықтыруға, пайдалануға, таратуға, иесiздендiруге, бұғаттауға және жоюға бағытталған iс-әрекеттер;

      4) дербес деректердi пайдалану – меншік иесінің, оператордың және үшінші тұлғаның қызмет мақсаттарын іске асыруға бағытталған дербес деректермен жасалатын iс-әрекеттер;

      5) дербес деректерді сақтау – дербес деректердің тұтастығын, құпиялылығын және қолжетімділігін қамтамасыз ету жөніндегі іс-әрекеттер;

      6) дербес медициналық деректер – жеке тұлғаның денсаулығы және оған көрсетілген медициналық қызметтер туралы мәліметтерді қамтитын, электрондық, қағаз немесе өзге де материалдық жеткізгіштерде тіркелген дербес деректер;

      7) дербес медициналық деректердің иесі – өзіне қатысты осы деректер қалыптастырылған дербес медициналық деректер субъектісі (жеке тұлға);

      8) дерекқор – осы деректердің сипаттамаларын, сонымен қатар олардың арасындағы өзара іс-қимылдарын сипаттайтын тұжырымдамалық құрылымға сәйкес ұйымдастырылған деректер жиынтығы

      9) медицина қызметкері – кәсіптік медициналық білімі бар және медициналық қызметті жүзеге асыратын жеке тұлға;

      10) медициналық ақпараттық жүйе – денсаулық сақтау субъектілерінің процестерін электрондық форматта жүргізуді қамтамасыз ететін ақпараттық жүйе;

      11) ұлттық электрондық денсаулық паспорты – уәкілетті орган бекіткен қағидаларға сәйкес жеке тұлғаға да, денсаулық сақтау қызметкерлеріне де қолжетімді, электрондық денсаулық паспорттарын қамтитын уәкілетті органның электрондық ақпараттық ресурсы;

      12) цифрлық денсаулық сақтау субъектісі – цифрлық денсаулық сақтау саласында қызметті жүзеге асыратын немесе қоғамдық қатынастарға түсетін жеке және заңды тұлғалар, мемлекеттік органдар.

2-тарау. Цифрлық денсаулық сақтау субъектілерінің қол жеткізу құқықтарының аражігін ажырату тәртібі

      3. Дербес медициналық деректерге қол жеткізу мүмкіндігі дербес медициналық деректер иесінің және (немесе) оның заңды өкілінің келісімімен Кодекстің 61-бабының 1-тармағында аталған адамдарға беріледі.

      4. Кодекстің 61-бабының 2-тармағына сәйкес шұғыл және кезек күттірмейтін медициналық көмек көрсету жағдайларында дербес медициналық деректер иесінің дербес медициналық деректеріне қол жеткізу медициналық көмектің осындай нысандарын көрсететін цифрлық денсаулық сақтау субъектілеріне әдеттегідей қамтамасыз етіледі.

      5. Дербес медициналық деректер иесінің және (немесе) оның заңды өкілінің келісімімен дербес медициналық деректерге қол жеткізу цифрлық денсаулық сақтау субъектілерінің Қазақстан Республикасының заңнамасымен жүктелген функцияларды, өкілеттіктер мен міндеттерді орындау шеңберінде Заңның 24-бабының 2-тармағына сәйкес беріледі.

      6. Дербес медициналық деректерге қол жеткізу үшін цифрлық денсаулық сақтау субъектісі Қазақстан Республикасы Цифрлық даму, инновациялар және аэроғарыш өнеркәсібі министрінің 2020 жылғы 21 қазандағы № 395/НҚ бұйрығымен (Нормативтік құқықтық актілерді мемлекеттік тіркеу тізілімінде № 147734 болып тіркелген) (бұдан әрі – № 395/НҚ бұйрық) бекітілген Дербес деректерді жинау, өңдеу қағидаларында айқындалатын тәртіппен дербес медициналық деректер иесінің және (немесе) оның заңды өкілінің оған жатқызылған дербес деректерді жинауға, өңдеуге келісімін сұратады.

      7. Цифрлық денсаулық сақтау субъектісі дербес медициналық деректер иесінің және (немесе) оның заңды өкілінің сөздерінен, дербес медициналық деректер иесі және (немесе) оның заңды өкілі ұсынған құжаттардан, медициналық құжаттамадан дербес медициналық деректерді жинауды жүзеге асырады.

      8. Дербес медициналық деректердің иесі және (немесе) оның заңды өкілі жазбаша нысанда, электрондық құжат нысанында немесе "электрондық үкіметтің" веб-порталындағы пайдаланушының кабинеті арқылы цифрлық денсаулық сақтау субъектісіне дербес медициналық деректерді жинауға және өңдеуге келісім береді.

      9. Дербес медициналық деректер иесінің және (немесе) оның заңды өкілінің дербес медициналық деректерді өңдеуге келісімі мыналарды қамтиды:

      дербес медициналық деректер иесінің жеке сәйкестендіру нөмірі, тегі, аты, әкесінің аты (ол болған кезде), мекенжайы, жеке басын куәландыратын құжаттың нөмірі, күні және оны берген орган;

      дербес медициналық деректер иесінің заңды өкілінің жеке сәйкестендіру нөмірі, тегі, аты, әкесінің аты (ол болған кезде), мекенжайы, оның жеке басын куәландыратын құжаттың нөмірі, күні және оны берген орган, заңды өкілдің өкілеттігін растайтын сенімхаттың және (немесе) өзге де құжаттың деректемелері (дербес медициналық деректер иесінің заңды өкілінен келісім алған кезде);

      цифрлық денсаулық сақтау субъектісінің атауы немесе жеке сәйкестендіру нөмірі, тегі, аты, әкесінің аты (ол болған кезде), мекенжайы, телефон нөмірлері және пошталық мекенжайлары;

      дербес деректерді өңдеуді ұйымдастыруға жауапты және дербес медициналық деректер иесінің келісімін алатын цифрлық денсаулық сақтау субъектісі қызметкерінің жеке сәйкестендіру нөмірі, тегі, аты, әкесінің аты (ол болған кезде), мекенжайы, телефон нөмірлері және пошталық мекенжайлары;

      дербес деректерді өңдеудің басталу күні;

      дербес медициналық деректерді өңдеу мақсаты;

      дербес медициналық деректер иесінің және (немесе) оның заңды өкілінің өңдеуге келісімі берілетін дербес медициналық деректердің тізбесі;

      жасауға келісім берілетін дербес медициналық деректермен жасалатын іс-қимылдар тізбесі, цифрлық денсаулық сақтау субъектісі пайдаланатын дербес медициналық деректерді өңдеу тәсілдерінің жалпы сипаттамасы;

      дербес медициналық деректер иесінің және (немесе) оның заңды өкілінің келісімі қолданылатын мерзім, сондай-ақ оны кері қайтарып алу тәсілі;

      дербес медициналық деректер иесінің және (немесе) оның заңды өкілінің қолы қол қойылған жағдайда, дербес медициналық деректер иесінің және (немесе) оның заңды өкілінің электрондық цифрлық қолтаңбасы арқылы куәландырылған қағаз түрінде немесе электрондық түрде қол қойылады;

      дербес деректерді қамтитын дерекқордың орналасқан жері туралы мәліметтер.

      10. Цифрлық денсаулық сақтау субъектісі жазбаша нысанда алған дербес медициналық деректер иесінің және (немесе) оның заңды өкілінің келісімі цифрлық денсаулық сақтау субъектісінің электрондық цифрлық қолтаңбасын пайдалана отырып, медициналық ақпараттық жүйеге енгізіледі.

      11. Дербес медициналық деректер иесінің заңды өкілінен дербес медициналық деректерді өңдеуге келісім алған жағдайда, цифрлық денсаулық сақтау субъектісі осы өкілдің дербес медициналық деректер иесінің атынан келісім беруге өкілеттіктерін тексереді.

      12. Жеке медициналық деректердің иесі өзінің жеке медициналық деректеріне қол жеткізу құқығын үшінші тұлғаларға, оның ішінде туыстарына, бұл фактіні дербес медициналық деректерге қол жеткізу келісімінде көрсету арқылы бере алады.

      13. Дербес медициналық деректер иесінің және (немесе) оның заңды өкілінің келісімінсіз дербес медициналық деректерге қол жеткізу Кодекстің 273-бабының 4-тармағында аталған жағдайларда жүзеге асырылады.

      14. Дербес медициналық деректер иесінің және (немесе) оның заңды өкілінің келісімінің болмауы дербес медициналық деректер иесі және (немесе) оның заңды өкілі өңдеу үшін рұқсат еткен дербес медициналық деректерді өңдеуге келісім болып табылмайды.

      15. Дербес медициналық деректерді қорғау үшін цифрлық денсаулық сақтау субъектілері ақпаратты қорғаудың ұйымдастырушылық және техникалық шараларын қолдану арқылы, сондай-ақ Бірыңғай талаптарға және Заңға сәйкес ақпараттық жүйелер мен ақпараттандыру объектілерінің пайдаланылуын бақылауды жүзеге асыру арқылы дербес медициналық деректердің, ақпараттық активтердің құпиялылығын, тұтастығын және қолжетімділігін қамтамасыз етеді.

      16. Цифрлық денсаулық сақтау субъектілері электрондық ақпараттық ресурстарды орналастыру, өзгерту, жою уақыты мен фактілерін есепке алу журналдарында көрсетілген іс-әрекеттерді жүзеге асырған пайдаланушы туралы ақпаратты хаттамалау және журналдау арқылы ақпараттандыру объектілеріне қол жеткізуді бақылауды жүзеге асырады.

      17. Пациент және (немесе) оның заңды өкілі өзінің дербес медициналық деректері туралы ақпаратты алу үшін цифрлық денсаулық сақтау субъектісіне еркін нысандағы өтінішті (сұратуды) жазбаша немесе электрондық құжат нысанында қолма-қол кеңсе арқылы, пошта арқылы немесе цифрлық денсаулық сақтау субъектісінің электрондық мекенжайына жібереді.

      18. Цифрлық денсаулық сақтау субъектісі пациенттің және (немесе) оның заңды өкілінің сұрау салуы бойынша өтінішті алған күннен бастап 3 (үш) жұмыс күні ішінде пациентке және (немесе) оның заңды өкіліне мыналарды қамтитын ақпаратты ұсынады:

      дербес медициналық деректердің болу фактісін растау, дербес медициналық деректердің мақсаттары, көздері, оларды жинау және өңдеу тәсілдері;

      дербес медициналық деректердің тізбесі;

      дербес медициналық деректерді өңдеу мерзімдері, оның ішінде оларды сақтау мерзімдері.

      19. Ақпарат беруден бас тартылған жағдайда, цифрлық денсаулық сақтау субъектісі өтінішті алған күннен бастап 3 (үш) жұмыс күнінен аспайтын мерзімде пациентке және (немесе) оның заңды өкіліне дәлелді жауап береді.

      Пациенттің жеке басын куәландыратын құжаттың болмауы және үшінші тұлғалардың құқықтары мен заңды мүдделерінің бұзылуы жағдайлары пациентке және (немесе) оның заңды өкіліне дербес медициналық деректер туралы ақпарат беруден бас тарту үшін негіз болып табылады.

      20. Цифрлық денсаулық сақтау субъектілері дербес деректер субъектілері "электрондық үкімет" веб-порталында тіркелген жағдайда, ақпараттық өзара әрекеттесу шеңберінде "электрондық үкімет" веб-порталындағы пайдаланушының кабинеті арқылы дербес медициналық деректерді пайдаланудың, өзгертудің және толықтырудың барлық жағдайлары туралы пациентті және (немесе) оның заңды өкілдерін автоматты режимде хабардар етуді қамтамасыз етеді.

      21. Цифрлық денсаулық сақтау субъектілері талдамалық, статистикалық қызметті, ғылыми және өзге де зерттеулерді жүзеге асыру кезінде Кодекстің 61-бабының 9-тармағына сәйкес дербес медициналық деректердің иесіздендірілуін қамтамасыз етеді.

      22. Кодекстің 61-бабының 3-тармағында белгіленген жағдайларды қоспағанда, оқыту, кәсіптік, қызметтік және өзге де міндеттерін орындау кезінде белгілі болған адамдардың пациенттің медициналық деректерін құрайтын мәліметтерін жария етуіне жол берілмейді.

      23. Цифрлық денсаулық сақтау субъектісін дербес деректерді жинау және өңдеу жөніндегі талаптардың сақталуы тұрғысынан тексеру үшін пациент және (немесе) оның заңды өкілі дербес деректерді қорғау саласындағы уәкілетті органға жүгінеді.

      24. Дербес медициналық деректерді жинау, өңдеу шарттарын бұза отырып, дербес медициналық деректерді жинау және өңдеуді жүргізген цифрлық денсаулық сақтау субъектісі пациенттің және (немесе) оның заңды өкілінің талап етуі бойынша № 395/НҚ бұйрығының 26 және 27-тармақтарының талаптарына сәйкес жойылуы тиіс.

      25. Цифрлық денсаулық сақтау субъектілері және (немесе) үшінші тұлғалар арасындағы дербес медициналық деректерге қол жеткізуге қатысты қатынастар Қазақстан Республикасының заңнамасымен реттеледі.

      26. Дербес медициналық деректерді шет мемлекеттердің аумағына трансшекаралық беру осы мемлекеттер Заңның 16-бабы 2-тармағының талаптарына сәйкес дербес деректерді қорғауды қамтамасыз еткен жағдайда жүзеге асырылады.

      27. Дербес деректердің қорғалуын қамтамасыз етпейтін шет мемлекеттердің аумағына дербес медициналық деректерді трансшекаралық беру Заңның 16-бабы 3-тармағының талаптарына сәйкес жүзеге асырылады.

      28. Жеке тұлғаның Кодекстің 61-бабының 5-тармағына сәйкес Ұлттық электрондық денсаулық паспортындағы, электрондық денсаулық паспортындағы өзінің денсаулығы және көрсетілген медициналық көмек туралы ақпаратқа қол жеткізуге, сондай-ақ деректерге қол жеткізу журналын қадағалауға құқығы бар.

      29. Электрондық медициналық жазбалар, пациенттің денсаулық жағдайы мен диагнозы туралы ілеспе материалдар ресми құжат болып табылады және медицина қызметкерінің электрондық цифрлық қолтаңбасын пайдалана отырып, пациенттің электрондық денсаулық паспортына енгізіледі.

      30. Дербес медициналық деректерді өңдеуді цифрлық денсаулық сақтау субъектісі пациенттің медициналық деректеріне өзгерістер және (немесе) толықтырулар енгізу, пайдалану, тарату, иесіздендіру, бұғаттау және жою арқылы жүргізеді.

      31. Цифрлық денсаулық сақтау субъектісі пациенттің және (немесе) оның заңды өкілінің бастамасы бойынша құжаттармен расталған, негіздер болған кезде өтініш келіп түскен күннен бастап үш жұмыс күні ішінде пациенттің дербес медициналық деректеріне өзгерістер және (немесе) толықтырулар енгізеді.

Приказ Министра здравоохранения Республики Казахстан "Об утверждении правил разграничения прав доступа субъектов цифрового здравоохранения"

Приказ Министра здравоохранения Республики Казахстан от 23 июня 2021 года № ҚР ДСМ-54. Зарегистрирован в Министерстве юстиции Республики Казахстан 8 июля 2021 года № 23370.

Об утверждении правил разграничения прав доступа субъектов цифрового здравоохранения

      В соответствии с пунктом 4 статьи 61 и подпунктом 12) статьи 58 Кодекса Республики Казахстан от 7 июля 2020 года "О здоровье народа и системе здравоохранения" ПРИКАЗЫВАЮ:

      1. Утвердить правила разграничения прав доступа субъектов цифрового здравоохранения согласно приложению к настоящему приказу.

      2. Департаменту развития электронного здравоохранения Министерства здравоохранения Республики Казахстан в установленном законодательством порядке Республики Казахстан обеспечить:

      1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

      2) размещение настоящего приказа на интернет-ресурсе Министерства здравоохранения Республики Казахстан;

      3) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан предоставление в Юридический департамент Министерства здравоохранения Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1) и 2) настоящего пункта.

      3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра здравоохранения Республики Казахстан.

      4. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

      Министр здравоохранения
Республики Казахстан
А. Цой

      "СОГЛАСОВАНО"
      Министерство цифрового развития, инноваций
      и аэрокосмической промышленности
      Республики Казахстан

  Утверждены приказом
Министр здравоохранения
Республики Казахстан
от 23 июня 2021 года
  № ҚР ДСМ-54

Правила разграничения прав доступа субъектов цифрового здравоохранения

Глава 1. Общие положения

      1. Настоящие правила разграничения прав доступа субъектов цифрового здравоохранения (далее – Правила) разработаны в соответствии с пунктом 4 статьи 61 и подпунктом 12) статьи 58 Кодекса Республики Казахстан от 7 июля 2020 года "О здоровье народа и системе здравоохранения" (далее – Кодекс), Законом Республики Казахстан от 21 мая 2013 года "О персональных данных и их защите" (далее – Закон), а также Едиными требованиями в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утвержденными постановлением Правительства Республики Казахстан от 20 декабря 2016 года № 832 (САПП Республики Казахстан, 2016 года, № 65 ст. 428) (далее – Единые требования) и определяют порядок разграничения прав доступа субъектов цифрового здравоохранения.

      2. Основные понятия и термины, используемые в настоящих Правилах:

      1) организация здравоохранения – юридическое лицо, осуществляющее деятельность в области здравоохранения;

      2) информационные системы здравоохранения – информационно-коммуникационные технологии, составляющие инфраструктуру системы электронного здравоохранения, включая медицинские информационные системы, технологии мобильного здравоохранения, телемедицинские технологии;

      3) обработка персональных данных – действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных;

      4) использование персональных данных – действия с персональными данными, направленные на реализацию целей деятельности собственника, оператора и третьего лица;

      5) хранение персональных данных – действия по обеспечению целостности, конфиденциальности и доступности персональных данных.

      6) персональные медицинские данные – персональные данные, содержащие сведения о здоровье физического лица и оказанных ему медицинских услугах, зафиксированные на электронных, бумажных или иных материальных носителях;

      7) владелец персональных медицинских данных – субъект персональных медицинских данных (физическое лицо), в отношении которого эти данные сформированы;

      8) база данных – совокупность данных, организованных согласно концептуальной структуре, описывающей характеристики этих данных, а также взаимосвязей между их объектами;

      9) медицинский работник – физическое лицо, имеющее профессиональное медицинское образование и осуществляющее медицинскую деятельность;

      10) медицинская информационная система – информационная система, обеспечивающая ведение процессов субъектов здравоохранения в электронном формате;

      11) национальный электронный паспорт здоровья – электронный информационный ресурс уполномоченного органа, содержащий электронные паспорта здоровья, доступный как физическому лицу, так и работникам здравоохранения;

      12) субъект цифрового здравоохранения – физические и юридические лица, государственные органы, осуществляющие деятельность или вступающие в общественные отношения в области цифрового здравоохранения.

Глава 2. Порядок разграничения прав доступа субъектов цифрового здравоохранения

      3. Доступ к персональным медицинским данным владельца персональных медицинских данных с его согласия и (или) его законного представителя предоставляется лицам, перечисленным в пункте 1 статьи 61 Кодекса.

      4. Доступ к персональным медицинским данным владельца персональных медицинских данных в случаях оказания экстренной и неотложной медицинской помощи обеспечивается по умолчанию субъектам цифрового здравоохранения, оказывающим такие формы медицинской помощи в соответствии с пунктом 2 статьи 61 Кодекса.

      5. Доступ к персональным медицинским данным владельца персональных медицинских данных с его согласия и (или) его законного представителя согласно пункту 2 статьи 24 Закона предоставляется в рамках выполнения возложенных законодательством Республики Казахстан на субъекты цифрового здравоохранения функций, полномочий и обязанностей.

      6. Для доступа к персональным медицинским данным субъект цифрового здравоохранения запрашивает согласие владельца персональных медицинских данных и (или) его законного представителя на сбор, обработку, отнесенных к нему персональных данных в порядке, определяемом Правилами сбора, обработки персональных данных, утвержденными Приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 21 октября 2020 года № 395/НҚ (зарегистрирован в Реестре государственной регистрации нормативных правовых актов под № 147734) (далее – Приказ № 395/НҚ).

      7. Сбор персональных медицинских данных субъектом цифрового здравоохранения осуществляется со слов владельца персональных медицинских данных и (или) его законного представителя, из документов, медицинской документации, предоставленных владельцем персональных медицинских данных и (или) его законным представителем.

      8. Владелец персональных медицинских данных и (или) его законный представитель дает согласие на сбор и обработку персональных медицинских данных субъекту цифрового здравоохранения в письменной форме, в форме электронного документа или путем передачи через кабинет пользователя на веб-портале "электронного правительства".

      9. Согласие владельца персональных медицинских данных и (или) его законного представителя на обработку его персональных медицинских данных включает в себя:

      индивидуальный идентификационный номер, фамилию, имя, отчество (при его наличии), адрес владельца персональных медицинских данных, номер, дату и орган выдачи документа, удостоверяющего его личность;

      индивидуальный идентификационный номер, фамилию, имя, отчество (при его наличии), адрес законного представителя владельца персональных медицинских данных, номер, дату и орган выдачи документа, удостоверяющего его личность, реквизиты доверенности и (или) иного документа, подтверждающего полномочия законного представителя (при получении согласия от законного представителя владельца персональных медицинских данных);

      наименование или индивидуальный идентификационный номер, фамилию, имя, отчество (при его наличии), адрес, номера телефонов и почтовые адреса субъекта цифрового здравоохранения;

      наименование или индивидуальный идентификационный номер, фамилию, имя, отчество (при его наличии), адрес, номера телефонов и почтовые адреса сотрудника субъекта цифрового здравоохранения, ответственного за организацию обработки персональных данных и получающего согласие владельца персональных медицинских данных;

      дата начала обработки персональных данных;

      цель обработки персональных медицинских данных;

      перечень персональных медицинских данных, на обработку которых дается согласие владельца персональных медицинских данных и (или) его законного представителя;

      перечень действий с персональными медицинскими данными, на совершение которых дается согласие, общее описание используемых субъектом цифрового здравоохранения способов обработки персональных медицинских данных;

      срок, в течение которого действует согласие владельца персональных медицинских данных и (или) его законного представителя, а также способ его отзыва;

      подпись владельца персональных медицинских данных и (или) его законного представителя в случае подписания в бумажном виде или в электронном виде, удостоверенном посредством электронной цифровой подписи владельца персональных медицинских данных и (или) его законного представителя;

      сведения о месте нахождения базы данных, содержащей персональные данные

      10. Согласие владельца персональных медицинских данных и (или) его законного представителя, полученное субъектом цифрового здравоохранения в письменной форме, вносится в медицинскую информационную систему с использованием электронной цифровой подписи субъекта цифрового здравоохранения.

      11. В случае получения согласия на обработку персональных медицинских данных от законного представителя владельца персональных медицинских данных полномочия данного представителя на дачу согласия от имени владельца персональных медицинских данных проверяются субъектом цифрового здравоохранения.

      12. Владелец персональных медицинских данных может делегировать права доступа к своим персональным медицинским данным третьим лицам, в том числе родственникам, указывая данный факт в согласии на доступ к персональным медицинским данным.

      13. Доступ к персональным медицинским данным без согласия владельца персональных медицинских данных и (или) его законного представителя осуществляется в случаях, перечисленных в пункте 4 статьи 273 Кодекса.

      14. Отсутствие согласия владельца персональных медицинских данных и (или) его законного представителя не является согласием на обработку персональных медицинских данных, разрешенных владельцем персональных медицинских данных и (или) его законным представителем для обработки.

      15. Для защиты персональных медицинских данных субъекты цифрового здравоохранения обеспечивают конфиденциальность, целостность и доступность персональных медицинских данных, информационных активов, посредством применения организационных и технических мер защиты информации, а также посредством осуществления контроля за эксплуатацией информационных систем и объектов информатизации в соответствии с Едиными требованиями и Законом.

      16. Субъекты цифрового здравоохранения осуществляют контроль за доступом к объектам информатизации путем протоколирования и журналирования информации в журналах учета времени и фактов размещения, изменения, удаления электронных информационных ресурсов о пользователе, осуществившем указанные действия.

      17. Пациент и (или) его законный представитель для получения информации о своих персональных медицинских данных направляет обращение (запрос) в произвольной форме субъекту цифрового здравоохранения письменно или в форме электронного документа нарочно через канцелярию, по почте или на электронный адрес субъекта цифрового здравоохранения.

      18. Субъект цифрового здравоохранения по запросу пациента и (или) его законного представителя в течение 3 (трех) рабочих дней со дня получения обращения предоставляет информацию пациенту и (или) его законному представителю, содержащую:

      подтверждение факта наличия персональных медицинских данных, цели, источники, способы сбора и обработки персональных медицинских данных;

      перечень персональных медицинских данных;

      сроки обработки персональных медицинских данных, в том числе сроки их хранения.

      19. В случае отказа в предоставлении информации, субъект цифрового здравоохранения в срок, не превышающий 3 (трех) рабочих дней со дня получения обращения, представляет мотивированный ответ пациенту и (или) его законному представителю.

      Основанием для отказа в предоставлении пациенту и (или) его законному представителю в предоставлении информации о персональных медицинских данных являются случаи отсутствия документа, удостоверяющего личность пациента и нарушения прав и законных интересов третьих лиц.

      20. Субъекты цифрового здравоохранения обеспечивают уведомление пациента и (или) его законного представителей через кабинет пользователя на веб-портале "электронного правительства" в автоматическом режиме обо всех случаях использования, изменения и дополнения персональных медицинских данных в рамках информационного взаимодействия при условии регистрации субъектов персональных данных на веб-портале "электронного правительства".

      21. Субъекты цифрового здравоохранения при проведении аналитической, статистической деятельности, научных и иных исследований обеспечивают обезличивание персональных медицинских данных согласно пункту 9 статьи 61 Кодекса.

      22. Не допускается разглашение сведений, составляющих медицинские данные пациента, лицами, которым они стали известны при обучении, исполнении профессиональных, служебных и иных обязанностей, кроме случаев, установленных пунктом 3 статьи 61 Кодекса.

      23. Для проверки субъекта цифрового здравоохранения на предмет соблюдения требований по сбору и обработке персональных данных пациент и (или) его законный представитель обращается в уполномоченный орган в сфере защиты персональных данных.

      24. Персональные медицинские данные, сбор и обработка которых произведены субъектом цифрового здравоохранения с нарушением условий сбора, обработки персональных медицинских данных, по требованию пациента и (или) его законного представителя подлежат уничтожению в соответствии с требованиями пунктов 26 и 27 Приказа № 395/НҚ.

      25. Отношения между субъектами цифрового здравоохранения и (или) третьими лицами относительно доступа к персональным медицинским данным регулируются законодательством Республики Казахстан.

      26. Трансграничная передача персональных медицинских данных на территорию иностранных государств осуществляется в случае обеспечения этими государствами защиты персональных данных в соответствии с требованиями пункта 2 статьи 16 Закона.

      27. Трансграничная передача персональных медицинских данных на территорию иностранных государств, не обеспечивающих защиту персональных данных, осуществляется в соответствии с требованиями пункта 3 статьи 16 Закона.

      28. Физическое лицо имеет доступ к информации о своем здоровье и оказанной медицинской помощи в Национальном электронном паспорте здоровья, электронном паспорте здоровья, а также отслеживанию журнала доступа к данным согласно пункту 5 статьи 61 Кодекса.

      29. Электронные медицинские записи, сопутствующие материалы о состоянии здоровья и диагнозе пациента, являются официальным документом и вносятся в электронный паспорт здоровья пациента с использованием электронной цифровой подписи медицинского работника.

      30. Обработка персональных медицинских данных производится субъектом цифрового здравоохранения путем внесения изменений и (или) дополнений, использования, распространения, обезличивания, блокирования и уничтожения медицинских данных пациента.

      31. Субъект цифрового здравоохранения по инициативе пациента и (или) его законного представителя при наличии оснований, подтвержденных документами, в течение трех рабочих дней со дня поступления обращения, вносит изменения и (или) дополнения в персональные медицинские данные пациента.