Пункт 3. Доступ к персональным медицинским данным владельца персональных медицинских данных с его согласия и (или) его законного представителя предоставляется лицам, перечисленным в пункте 1 статьи 61 Кодекса.
Пункт 4. Доступ к персональным медицинским данным владельца персональных медицинских данных в случаях оказания экстренной и неотложной медицинской помощи обеспечивается по умолчанию субъектам цифрового здравоохранения, оказывающим такие формы медицинской помощи в соответствии с пунктом 2 статьи 61 Кодекса.
Пункт 5. Доступ к персональным медицинским данным владельца персональных медицинских данных с его согласия и (или) его законного представителя согласно пункту 2 статьи 24 Закона предоставляется в рамках выполнения возложенных законодательством Республики Казахстан на субъекты цифрового здравоохранения функций, полномочий и обязанностей.
Пункт 6. Для доступа к персональным медицинским данным субъект цифрового здравоохранения запрашивает согласие владельца персональных медицинских данных и (или) его законного представителя на сбор, обработку, отнесенных к нему персональных данных в порядке, определяемом Правилами сбора, обработки персональных данных, утвержденными Приказом Министра цифрового развития, инноваций и аэрокосмической промышленности Республики Казахстан от 21 октября 2020 года № 395/НҚ (зарегистрирован в Реестре государственной регистрации нормативных правовых актов под № 147734) (далее - Приказ № 395/НҚ).
Пункт 7. Сбор персональных медицинских данных субъектом цифрового здравоохранения осуществляется со слов владельца персональных медицинских данных и (или) его законного представителя, из документов, медицинской документации, предоставленных владельцем персональных медицинских данных и (или) его законным представителем.
Пункт 8. Владелец персональных медицинских данных и (или) его законный представитель дает согласие на сбор и обработку персональных медицинских данных субъекту цифрового здравоохранения в письменной форме, в форме электронного документа или путем передачи через кабинет пользователя на веб-портале "электронного правительства".
Пункт 9. Согласие владельца персональных медицинских данных и (или) его законного представителя на обработку его персональных медицинских данных включает в себя:
Пункт 10. Согласие владельца персональных медицинских данных и (или) его законного представителя, полученное субъектом цифрового здравоохранения в письменной форме, вносится в медицинскую информационную систему с использованием электронной цифровой подписи субъекта цифрового здравоохранения.
Пункт 11. В случае получения согласия на обработку персональных медицинских данных от законного представителя владельца персональных медицинских данных полномочия данного представителя на дачу согласия от имени владельца персональных медицинских данных проверяются субъектом цифрового здравоохранения.
Пункт 12. Владелец персональных медицинских данных может делегировать права доступа к своим персональным медицинским данным третьим лицам, в том числе родственникам, указывая данный факт в согласии на доступ к персональным медицинским данным.
Пункт 13. Доступ к персональным медицинским данным без согласия владельца персональных медицинских данных и (или) его законного представителя осуществляется в случаях, перечисленных в пункте 4 статьи 273 Кодекса.
Пункт 14. Отсутствие согласия владельца персональных медицинских данных и (или) его законного представителя не является согласием на обработку персональных медицинских данных, разрешенных владельцем персональных медицинских данных и (или) его законным представителем для обработки.
Пункт 15. Для защиты персональных медицинских данных субъекты цифрового здравоохранения обеспечивают конфиденциальность, целостность и доступность персональных медицинских данных, информационных активов, посредством применения организационных и технических мер защиты информации, а также посредством осуществления контроля за эксплуатацией информационных систем и объектов информатизации в соответствии с Едиными требованиями и Законом.
Пункт 16. Субъекты цифрового здравоохранения осуществляют контроль за доступом к объектам информатизации путем протоколирования и журналирования информации в журналах учета времени и фактов размещения, изменения, удаления электронных информационных ресурсов о пользователе, осуществившем указанные действия.
Пункт 17. Пациент и (или) его законный представитель для получения информации о своих персональных медицинских данных направляет обращение (запрос) в произвольной форме субъекту цифрового здравоохранения письменно или в форме электронного документа нарочно через канцелярию, по почте или на электронный адрес субъекта цифрового здравоохранения.
Пункт 18. Субъект цифрового здравоохранения по запросу пациента и (или) его законного представителя в течение 3 (трех) рабочих дней со дня получения обращения предоставляет информацию пациенту и (или) его законному представителю, содержащую:
Пункт 19. В случае отказа в предоставлении информации, субъект цифрового здравоохранения в срок, не превышающий 3 (трех) рабочих дней со дня получения обращения, представляет мотивированный ответ пациенту и (или) его законному представителю.
Пункт 20. Субъекты цифрового здравоохранения обеспечивают уведомление пациента и (или) его законного представителей через кабинет пользователя на веб-портале "электронного правительства" в автоматическом режиме обо всех случаях использования, изменения и дополнения персональных медицинских данных в рамках информационного взаимодействия при условии регистрации субъектов персональных данных на веб-портале "электронного правительства".
Пункт 21. Субъекты цифрового здравоохранения при проведении аналитической, статистической деятельности, научных и иных исследований обеспечивают обезличивание персональных медицинских данных согласно пункту 9 статьи 61 Кодекса.
Пункт 22. Не допускается разглашение сведений, составляющих медицинские данные пациента, лицами, которым они стали известны при обучении, исполнении профессиональных, служебных и иных обязанностей, кроме случаев, установленных пунктом 3 статьи 61 Кодекса.
Пункт 23. Для проверки субъекта цифрового здравоохранения на предмет соблюдения требований по сбору и обработке персональных данных пациент и (или) его законный представитель обращается в уполномоченный орган в сфере защиты персональных данных.
Пункт 24. Персональные медицинские данные, сбор и обработка которых произведены субъектом цифрового здравоохранения с нарушением условий сбора , обработки персональных медицинских данных, по требованию пациента и (или) его законного представителя подлежат уничтожению в соответствии с требованиями пунктов 26 и 27 Приказа № 395/НҚ.
Пункт 25. Отношения между субъектами цифрового здравоохранения и (или) третьими лицами относительно доступа к персональным медицинским данным регулируются законодательством Республики Казахстан.
Пункт 26. Трансграничная передача персональных медицинских данных на территорию иностранных государств осуществляется в случае обеспечения этими государствами защиты персональных данных в соответствии с требованиями пункта 2 статьи 16 Закона.
Пункт 27. Трансграничная передача персональных медицинских данных на территорию иностранных государств, не обеспечивающих защиту персональных данных, осуществляется в соответствии с требованиями пункта 3 статьи 16 Закона.
Пункт 28. Физическое лицо имеет доступ к информации о своем здоровье и оказанной медицинской помощи в Национальном электронном паспорте здоровья, электронном паспорте здоровья, а также отслеживанию журнала доступа к данным согласно пункту 5 статьи 61 Кодекса.
Пункт 29. Электронные медицинские записи, сопутствующие материалы о состоянии здоровья и диагнозе пациента, являются официальным документом и вносятся в электронный паспорт здоровья пациента с использованием электронной цифровой подписи медицинского работника.
Пункт 30. Обработка персональных медицинских данных производится субъектом цифрового здравоохранения путем внесения изменений и (или) дополнений, использования, распространения, обезличивания, блокирования и уничтожения медицинских данных пациента.
Пункт 31. Субъект цифрового здравоохранения по инициативе пациента и (или) его законного представителя при наличии оснований, подтвержденных документами, в течение трех рабочих дней со дня поступления обращения, вносит изменения и (или) дополнения в персональные медицинские данные пациента.