Защита персональных данных

Ключевые слова: персональные данные, согласие на обработку персональных данных, врачебная тайна

В настоящее время проблема защиты персональных данных является очень актуальной. Сегодня реальность во многом заменилась виртуаль­ным миром. Мы знакомимся, общаемся и совершаем покупки в Интернете, записываемся на прием к врачу.

Характер медицинской деятельности свя­зан с использованием большого количества персональных данных о пациенте. Каждая ме­дицинская организация, являясь оператором персональных данных, обязана обеспечить на­дежную защиту получаемых в ее распоряжение данных о пациенте. Персональные данные, обрабатываемые в медицине, должны быть за­щищены на очень высоком уровне защиты, что обеспечивается путем создания специаль­ной системы персональных данных.

В соответствии с пунктом 5 статьи 78 Федерального закона от 21 ноября 2011 года № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» медицинские орга­низации имеют право создавать локальные ин­формационные системы, содержащие данные о пациентах и об оказываемых им медицинских услугах, с соблюдением установленных законо­дательством Российской Федерации требова­ний о защите персональных данных и врачеб­ной тайны.

Создание систем защиты персональных дан­ных регламентируется Федеральным Законом от 27 июля 2006 года № 152–ФЗ «О персональ­ных данных». Персональные данные представляют собой любую информацию, относящеюся прямо или косвенно к определенному или опре­деляемому физическому лицу (субъекту пер­сональных данных). То есть это те данные, которые позволяют нам узнать человека в толпе, идентифицировать и определить, как конкрет­ную личность. Закон «О персональных данных» делит персональные данные на три категории:

• общедоступные – основные анкетные дан­ные (имя, отчество, фамилия, гендерная принадлежность, дата рождения и т. д.);

• биометрические – внешние данные и не­которые физиологические особенности (последние – при условии их визуального определения);

• специальные – национальность, вероиспо­ведание, сведения о состоянии здоровья, а также данные о взаимоотношениях с зако­ном (судимость, привлечение к ответствен­ности), частично – информация в сфере за­нятости (причины увольнения и т. д.). Согласно пункту 3 статьи 3 Федерального

закона N 152-ФЗ обработка персональных дан­ных – это любое действие (операция) или совокупность действий (операций), совершае­мых с использованием средств автоматизации или без использования таких средств с персо­нальными данными, включая:

• сбор, запись, систематизацию, накопление;

• хранение, уточнение (обновление, измене­ние), извлечение;

• использование, передачу (распространение, предоставление, доступ), обезличивание;

• блокирование, удаление, уничтожение пер­сональных данных.

По общему правилу обработка персональ­ных данных возможна с согласия субъекта персональных данных (п. 1 ч. 1 ст. 6, п. 1 ч. 2 ст. 10 Федерального закона N 152–ФЗ).

В силу ч. 4 ст. 9 Федерального закона N 152-ФЗ согласие субъекта персональных данных на обработку его персональных данных, состав­ленное в письменной форме, должно вклю­чать, в частности:

1) фамилию, имя, отчество, адрес субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведе­ния о дате выдачи указанного документа и вы­давшем его органе;

2) фамилию, имя, отчество, адрес предста­вителя субъекта персональных данных, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указан­ного документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия этого предста­вителя (при получении согласия от представителя субъекта персональных данных);

3) наименование или фамилию, имя, отче­ство и адрес оператора, получающего согласие субъекта персональных данных;

4) цель обработки персональных данных;

5) перечень персональных данных, на обра­ботку которых дается согласие субъекта персональных данных;

6) наименование или фамилию, имя, отче­ство и адрес лица, осуществляющего обработку персональных данных по поручению операто­ра, если обработка будет поручена такому лицу;

7) перечень действий с персональными дан­ными, на совершение которых дается согласие, общее описание используемых оператором спо­собов обработки персональных данных;

8) срок, в течение которого действует со­гласие субъекта персональных данных, а так­же способ его отзыва, если иное не установле­но федеральным законом;

9) подпись субъекта персональных данных.

Отказать пациенту в оказании медицин­ских услуг, если он не предоставляет свои персональные данные (то есть не показыва­ет паспорт, полис и другие документы), нельзя в силу публичного характера договора оказания услуг (статья 426 Гражданского кодекса РФ).

Медицинская организация должна осу­ществлять оказание медицинских услуг в от­ношении каждого, кто к ней обратится. Од­нако медицинская помощь в данном случае может быть оказана только на возмездной ос­нове на основании договора возмездного ока­зания медицинских услуг, поскольку пациент не подтвердил статус застрахованного лица по обязательному медицинскому страхова­нию. При оформлении договора, акта или счета в графе «заказчик» указывается «ано­ним», и делается пометка о том, что пациент отказался от предоставления персональных данных.

Если пациент предоставил персональные данные, но отказывается дать согласие на их обработку, необходимо, во-первых, определить, действительно ли такое согласие необходимо с учетом положений закона. Представляется, что если пациент хочет получить медицинскую по­мощь по системе ОМС, то его персональные дан­ные, необходимые для целей персонифициро­ванного учета в сфере ОМС, а также персональ­ные данные, касающиеся его здоровья, могут быть обработаны без его согласия, но с соблю­дением всех требований законодательства по их защите. Представляется также, что если пациент желает получить медицинские услуги на основе возмездного договора, то обработка его персональных данных в целях исполнения такого до­говора также не требует его согласия. Поэтому к получению согласия на обработку персональ­ных данных не рекомендуется подходить фор­мально и предлагать подписать его всем паци­ентам. Необходимо четкое понимание случаев, когда такое согласие требуется, а когда нет.

При отсутствии согласия субъекта об­работка персональных данных допускается в случае, если:

• она осуществляется на основании и во ис­полнение федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полно­мочия оператора, т. е. правовым основани­ем для такой обработки всегда должен являться федеральный закон;

• обработка персональных данных осущест­вляется в целях исполнения договора, од­ной из сторон которого является субъект персональных данных, т. е. в качестве ос­нования для обработки выступает договор, заключенный между субъектом персональ­ных данных и оператором, который кос­венно подтверждает согласие субъекта на обработку таких данных;

• обработка персональных данных осущест­вляется в статистических или иных науч­ных целях при условии обязательного обе­зличивания персональных данных;

обработка персональных данных необ­ходима для защиты жизни, здоровья или иных жизненно важных интересов субъек­та персональных данных, если получение согласия субъекта персональных данных невозможно (в обмороке, без сознания); обработка персональных данных необхо­дима для доставки почтовых отправле­ний организациями почтовой связи, для осуществления операторами электросвя­зи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рас­смотрения претензий пользователей услуг связи;

обработка персональных данных осущест­вляется в целях профессиональной дея­тельности журналиста либо в целях науч­ной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных; осуществляется обработка персональ­ных данных, подлежащих опубликованию в соответствии с федеральными закона­ми, в т. ч. персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандида­тов на выборные государственные или му­ниципальные должности. Также стоит обратить внимание на проце­дуру получения согласия. Часто бывает, что пациенту не даются необходимые разъясне­ния о целях обработки его персональных дан­ных, о необходимости их получения, о степе­ни их защиты, о его правах и возможности их защиты в случае нарушения. Вместо этого па­циенту предлагается листок, где его просят по­ставить подпись. При таком подходе отказ – вполне ожидаемая реакция пациента. То есть если отказы в получении согласия на обработ­ку персональных данных стали повторяться, то необходимо заняться их «профилактикой»: обеспечить информирование пациентов, разъ­яснительную работу, соблюдать этику обще­ния с пациентом и т.д.

Следует помнить также, что если феде­ральным законом не установлена обязатель­ная письменная форма для согласия, оно мо­жет быть получено в любой позволяющей подтвердить факт его получения форме.

Если пациент отозвал данное ранее согла­сие на обработку его персональных данных, медицинская организация вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в пунктах 2–11 части I статьи 6, части 2 статьи 10 и части 2 статьи II Закона о персональных данных – то есть, если обработка персональных данных пациен­та возможна без его согласия.

Важно правильно соотносить понятия «персональные данные» и «врачебная тайна». Врачебная тайна представляет собой сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здо­ровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении. Соблюдение врачебной тайны является од­ним из принципов охраны здоровья (статья 4 Закона об основах охраны здоровья граж­дан). Врачебная тайна является особым режимом информации с ограниченным доступом. Если сравнивать понятия «персональные дан­ные» и «врачебная тайна», то последнее явля­ется более узким понятием. Врачебная тайна выступает видом персональных данных, кото­рый становится известным медицинской ор­ганизации при оказании медицинских услуг. Однако пациент имеет право на защиту лю­бой информации о нем, которая стала извест­на медицинской организации. Закон об осно­вах охраны здоровья разрешает медицинской организации разглашать другим лицам сведе­ния, составляющие врачебную тайну или иные персональные данные пациента только с пись­менного согласия пациента либо его законного представителя.

На практике часто бывают случаи, когда адвокаты направляют в медицинские органи­зации адвокатские запросы (не имея согласия пациента на разглашения врачебной тайны) на получение данных о конкретном человеке, например, о факте его обращения в медицин­скую организацию, его нахождения, диагнозе и прочее.

В таких запросах адвокаты ссылаются на пункт 3 статьи 6 Федерального закона от 31 мая 2002 года № 63-ФЗ «Об адвокатской де­ятельности и адвокатуре в Российской Феде­рации», в соответствии с которым организа­ции обязаны выдавать адвокату запрошенные им документы или их заверенные копии, не­обходимые для оказания юридической помо­щи в порядке, установленном действующим законодательством. Однако согласно пункту 4 статьи 13 Закона об основах охраны здоровья граждан только закрытый перечень лиц может получать сведения, составляющие врачебную тайну. Адвокаты не относятся к субъектам, ко­торым врачебная тайна, а равно и персональ­ные данные могут быть предоставлены без со­гласия гражданина.

И не забудьте, что лица, виновные в на­рушении требований действующего законо­дательства в области защиты персональных данных, будут нести ответственность, пред­усмотренную законодательством Российской Федерации.