Об утверждении правил разграничения прав доступа субъектов цифрового здравоохранения Приказ Министра здравоохранения Республики Казахстан от 23 июня 2021 года № ҚР ДСМ-54. Зарегистрирован в Министерстве юстиции Республики Казахстан 8 июля 2021 года № 23370

В соответствии с пунктом 4 статьи 61 и подпунктом 12) статьи 58 Кодекса Республики Казахстан «О здоровье народа и системе здравоохранения» ПРИКАЗЫВАЮ:

Преамбула изложена в новой редакции Приказа Министра здравоохранения РК от 26.11.2025 г. № 152 (см. редакцию от 12.05.2021 г.)(изменение вводится в действие с 13.12.2025 г.)

1. Утвердить правила разграничения прав доступа субъектов цифрового здравоохранения согласно приложению к настоящему приказу.

2. Департаменту развития электронного здравоохранения Министерства здравоохранения Республики Казахстан в установленном законодательством порядке Республики Казахстан обеспечить:

1) государственную регистрацию настоящего приказа в Министерстве юстиции Республики Казахстан;

2) размещение настоящего приказа на интернет-ресурсе Министерства здравоохранения Республики Казахстан;

3) в течение десяти рабочих дней после государственной регистрации настоящего приказа в Министерстве юстиции Республики Казахстан предоставление в Юридический департамент Министерства здравоохранения Республики Казахстан сведений об исполнении мероприятий, предусмотренных подпунктами 1) и 2) настоящего пункта.

3. Контроль за исполнением настоящего приказа возложить на курирующего вице-министра здравоохранения Республики Казахстан.

4. Настоящий приказ вводится в действие по истечении десяти календарных дней после дня его первого официального опубликования.

Министр здравоохранения Республики Казахстан А. Цой

«СОГЛАСОВАНО»
Министерство цифрового развития, инноваций
и аэрокосмической промышленности
Республики Казахстан

1. Настоящие правила разграничения прав доступа субъектов цифрового здравоохранения (далее – Правила) разработаны в соответствии с пунктом 4 статьи 61 и подпунктом 12) статьи 58 Кодекса Республики Казахстан «О здоровье народа и системе здравоохранения» (далее – Кодекс), Законом Республики Казахстан «О персональных данных и их защите» (далее – Закон), а также Едиными требованиями в области информационно-коммуникационных технологий и обеспечения информационной безопасности, утвержденными постановлением Правительства Республики Казахстан от 20 декабря 2016 года № 832 (далее – Единые требования) и определяют порядок разграничения прав доступа субъектов цифрового здравоохранения.

Пункт 1 изложен в новой редакции Приказа Министра здравоохранения РК от 26.11.2025 г. № 152 (см. редакцию от 12.05.2021 г.)(изменение вводится в действие с 13.12.2025 г.)

2. Основные понятия и термины, используемые в настоящих Правилах:

1) организация здравоохранения – юридическое лицо, осуществляющее деятельность в области здравоохранения;

2) информационные системы здравоохранения – информационно-коммуникационные технологии, составляющие инфраструктуру системы электронного здравоохранения, включая медицинские информационные системы, технологии мобильного здравоохранения, телемедицинские технологии;

3) обработка персональных данных – действия, направленные на накопление, хранение, изменение, дополнение, использование, распространение, обезличивание, блокирование и уничтожение персональных данных;

4) использование персональных данных – действия с персональными данными, направленные на реализацию целей деятельности собственника, оператора и третьего лица;

5) хранение персональных данных – действия по обеспечению целостности, конфиденциальности и доступности персональных данных.

6) персональные медицинские данные – персональные данные, содержащие сведения о здоровье физического лица и оказанных ему медицинских услугах, зафиксированные на электронных, бумажных или иных материальных носителях;

7) владелец персональных медицинских данных – субъект персональных медицинских данных (физическое лицо), в отношении которого эти данные сформированы;

8) база данных – совокупность данных, организованных согласно концептуальной структуре, описывающей характеристики этих данных, а также взаимосвязей между их объектами;

9) медицинский работник – физическое лицо, имеющее профессиональное медицинское образование и осуществляющее медицинскую деятельность;

10) медицинская информационная система – информационная система, обеспечивающая ведение процессов субъектов здравоохранения в электронном формате;

11) национальный электронный паспорт здоровья – электронный информационный ресурс уполномоченного органа, содержащий электронные паспорта здоровья, доступный как физическому лицу, так и работникам системы здравоохранения в соответствии с правилами, утвержденными уполномоченным органом;

Подпункт 11 изложен в новой редакции Приказа Министра здравоохранения РК от 26.11.2025 г. № 152 (см. редакцию от 12.05.2021 г.)(изменение вводится в действие с 13.12.2025 г.)

12) субъект цифрового здравоохранения – физические и юридические лица, государственные органы, осуществляющие деятельность или вступающие в общественные отношения в области цифрового здравоохранения.

3. Доступ к персональным медицинским данным владельца персональных медицинских данных с его согласия и (или) его законного представителя предоставляется лицам, перечисленным в пункте 1 статьи 61 Кодекса.

4. Доступ к персональным медицинским данным владельца персональных медицинских данных в случаях оказания экстренной и неотложной медицинской помощи обеспечивается по умолчанию субъектам цифрового здравоохранения, оказывающим такие формы медицинской помощи в соответствии с пунктом 2 статьи 61 Кодекса.

5. Доступ к персональным медицинским данным владельца персональных медицинских данных с его согласия и (или) его законного представителя согласно пункту 2 статьи 24 Закона предоставляется в рамках выполнения возложенных законодательством Республики Казахстан на субъекты цифрового здравоохранения функций, полномочий и обязанностей.

6. Для доступа к персональным медицинским данным субъект цифрового здравоохранения запрашивает согласие владельца персональных медицинских данных и (или) его законного представителя на сбор, обработку, отнесенных к нему персональных данных в порядке, определяемом Правилами сбора, обработки персональных данных, утвержденными Приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 21 октября 2020 года № 395/НҚ (зарегистрирован в Реестре государственной регистрации нормативных правовых актов под № 147734) (далее – Приказ № 395/НҚ).

7. Сбор персональных медицинских данных субъектом цифрового здравоохранения осуществляется со слов владельца персональных медицинских данных и (или) его законного представителя, из документов, медицинской документации, предоставленных владельцем персональных медицинских данных и (или) его законным представителем.

8. Владелец персональных медицинских данных и (или) его законный представитель дает согласие на сбор и обработку персональных медицинских данных субъекту цифрового здравоохранения в письменной форме, в форме электронного документа или путем передачи через кабинет пользователя на веб-портале «электронного правительства».

9. Согласие владельца персональных медицинских данных и (или) его законного представителя на обработку его персональных медицинских данных включает в себя:

индивидуальный идентификационный номер, фамилию, имя, отчество (при его наличии), адрес владельца персональных медицинских данных, номер, дату и орган выдачи документа, удостоверяющего его личность;

индивидуальный идентификационный номер, фамилию, имя, отчество (при его наличии), адрес законного представителя владельца персональных медицинских данных, номер, дату и орган выдачи документа, удостоверяющего его личность, реквизиты доверенности и (или) иного документа, подтверждающего полномочия законного представителя (при получении согласия от законного представителя владельца персональных медицинских данных);

наименование или индивидуальный идентификационный номер, фамилию, имя, отчество (при его наличии), адрес, номера телефонов и почтовые адреса субъекта цифрового здравоохранения;

наименование или индивидуальный идентификационный номер, фамилию, имя, отчество (при его наличии), адрес, номера телефонов и почтовые адреса сотрудника субъекта цифрового здравоохранения, ответственного за организацию обработки персональных данных и получающего согласие владельца персональных медицинских данных;

дата начала обработки персональных данных;

цель обработки персональных медицинских данных;

перечень персональных медицинских данных, на обработку которых дается согласие владельца персональных медицинских данных и (или) его законного представителя;

перечень действий с персональными медицинскими данными, на совершение которых дается согласие, общее описание используемых субъектом цифрового здравоохранения способов обработки персональных медицинских данных;

срок, в течение которого действует согласие владельца персональных медицинских данных и (или) его законного представителя, а также способ его отзыва;

подпись владельца персональных медицинских данных и (или) его законного представителя в случае подписания в бумажном виде или в электронном виде, удостоверенном посредством электронной цифровой подписи владельца персональных медицинских данных и (или) его законного представителя;

сведения о месте нахождения базы данных, содержащей персональные данные

10. Согласие владельца персональных медицинских данных и (или) его законного представителя, полученное субъектом цифрового здравоохранения в письменной форме, вносится в медицинскую информационную систему с использованием электронной цифровой подписи субъекта цифрового здравоохранения.

11. В случае получения согласия на обработку персональных медицинских данных от законного представителя владельца персональных медицинских данных полномочия данного представителя на дачу согласия от имени владельца персональных медицинских данных проверяются субъектом цифрового здравоохранения.

12. Владелец персональных медицинских данных может делегировать права доступа к своим персональным медицинским данным третьим лицам, в том числе родственникам, указывая данный факт в согласии на доступ к персональным медицинским данным.

13. Доступ к персональным медицинским данным без согласия владельца персональных медицинских данных и (или) его законного представителя осуществляется в случаях, перечисленных в пункте 4 статьи 273 Кодекса.

14. Отсутствие согласия владельца персональных медицинских данных и (или) его законного представителя не является согласием на обработку персональных медицинских данных, разрешенных владельцем персональных медицинских данных и (или) его законным представителем для обработки.

15. Для защиты персональных медицинских данных субъекты цифрового здравоохранения обеспечивают конфиденциальность, целостность и доступность персональных медицинских данных, информационных активов, посредством применения организационных и технических мер защиты информации, а также посредством осуществления контроля за эксплуатацией информационных систем и объектов информатизации в соответствии с Едиными требованиями и Законом.

16. Субъекты цифрового здравоохранения осуществляют контроль за доступом к объектам информатизации путем протоколирования и журналирования информации в журналах учета времени и фактов размещения, изменения, удаления электронных информационных ресурсов о пользователе, осуществившем указанные действия.

17. Пациент и (или) его законный представитель для получения информации о своих персональных медицинских данных направляет обращение (запрос) в произвольной форме субъекту цифрового здравоохранения письменно или в форме электронного документа нарочно через канцелярию, по почте или на электронный адрес субъекта цифрового здравоохранения.

18. Субъект цифрового здравоохранения по запросу пациента и (или) его законного представителя в течение 3 (трех) рабочих дней со дня получения обращения предоставляет информацию пациенту и (или) его законному представителю, содержащую:

подтверждение факта наличия персональных медицинских данных, цели, источники, способы сбора и обработки персональных медицинских данных;

перечень персональных медицинских данных;

сроки обработки персональных медицинских данных, в том числе сроки их хранения.

19. В случае отказа в предоставлении информации, субъект цифрового здравоохранения в срок, не превышающий 3 (трех) рабочих дней со дня получения обращения, представляет мотивированный ответ пациенту и (или) его законному представителю.

Основанием для отказа в предоставлении пациенту и (или) его законному представителю в предоставлении информации о персональных медицинских данных являются случаи отсутствия документа, удостоверяющего личность пациента и нарушения прав и законных интересов третьих лиц.

20. Субъекты цифрового здравоохранения обеспечивают уведомление пациента и (или) его законного представителей через кабинет пользователя на веб-портале «электронного правительства» в автоматическом режиме обо всех случаях использования, изменения и дополнения персональных медицинских данных в рамках информационного взаимодействия при условии регистрации субъектов персональных данных на веб-портале «электронного правительства».

21. Субъекты цифрового здравоохранения при проведении аналитической, статистической деятельности, научных и иных исследований обеспечивают обезличивание персональных медицинских данных согласно пункту 9 статьи 61 Кодекса.

22. Не допускается разглашение сведений, составляющих медицинские данные пациента, лицами, которым они стали известны при обучении, исполнении профессиональных, служебных и иных обязанностей, кроме случаев, установленных пунктом 3 статьи 61 Кодекса.

23. Для проверки субъекта цифрового здравоохранения на предмет соблюдения требований по сбору и обработке персональных данных пациент и (или) его законный представитель обращается в уполномоченный орган в сфере защиты персональных данных.

24. Персональные медицинские данные, сбор и обработка которых произведены субъектом цифрового здравоохранения с нарушением условий сбора, обработки персональных медицинских данных, по требованию пациента и (или) его законного представителя подлежат уничтожению в соответствии с требованиями пунктов 26 и 27 Приказа № 395/НҚ.

25. Отношения между субъектами цифрового здравоохранения и (или) третьими лицами относительно доступа к персональным медицинским данным регулируются законодательством Республики Казахстан.

26. Трансграничная передача персональных медицинских данных на территорию иностранных государств осуществляется в случае обеспечения этими государствами защиты персональных данных в соответствии с требованиями пункта 2 статьи 16 Закона.

27. Трансграничная передача персональных медицинских данных на территорию иностранных государств, не обеспечивающих защиту персональных данных, осуществляется в соответствии с требованиями пункта 3 статьи 16 Закона.

28. Физическое лицо имеет доступ к информации о своем здоровье и оказанной медицинской помощи в Национальном электронном паспорте здоровья, электронном паспорте здоровья, а также отслеживанию журнала доступа к данным согласно пункту 5 статьи 61 Кодекса.

29. Электронные медицинские записи, сопутствующие материалы о состоянии здоровья и диагнозе пациента, являются официальным документом и вносятся в электронный паспорт здоровья пациента с использованием электронной цифровой подписи медицинского работника.

30. Обработка персональных медицинских данных производится субъектом цифрового здравоохранения путем внесения изменений и (или) дополнений, использования, распространения, обезличивания, блокирования и уничтожения медицинских данных пациента.

31. Субъект цифрового здравоохранения по инициативе пациента и (или) его законного представителя при наличии оснований, подтвержденных документами, в течение трех рабочих дней со дня поступления обращения, вносит изменения и (или) дополнения в персональные медицинские данные пациента.