Новости медицины Пациенту Вопрос специалисту Каталог организаций Обратная связь
Пациенту / Медицинское право / Гарантии пациенту со стороны медицинской организации / Гарантия конфиденциальности персональных данных
поиск клиник

Пациенту

Гарантия конфиденциальности персональных данных

Любая медицинская организация при осуществлении своей деятельности осуществляет сбор и обработку поступающих персональных данных пациентов и в силу этого, согласно Федеральному закону от 27.07.2006 № 152-ФЗ (ред. от 04.06.2014) «О персональных данных» (далее - Закон № 152-ФЗ или Закон о персональных данных) является оператором персональных данных. Ведением реестра операторов персональных данных занимается Роскомнадзор.

Согласно Закону № 152-ФЗ, персональными данными является любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Оператором персональных данных согласно статье 3 Закона о персональных данных выступает государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Таким образом, в силу Закона № 152-ФЗ к медицинским организациям как к операторам персональных данных предъявляются особые требования по обработке, учету и хранению персональных данных.

Система защиты персональных данных

Согласно ч. 4 ст. 79 Федерального закона от 21.11.2011 № 323-ФЗ (ред. от 21.07.2014) «Об основах охраны здоровья граждан в Российской Федерации» (далее «Закон № 323-ФЗ») медицинские организации обязаны соблюдать врачебную тайну, в том числе конфиденциальность персональных данных, используемых в медицинских информационных системах.

Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Проще говоря, это обеспечивается внедрением специальной системы защиты персональных данных. Чаще всего медицинские организации для реализации такой системы защиты вынуждены обращаться к специализированным организациям, имеющим лицензию на деятельность по технической защите конфиденциальной информации.

Согласие на обработку персональных данных

Решение о предоставлении персональных данных принимается их субъектом в виде письменного согласия на обработку ПД, которое должно включать в себя:

  • фамилия, имя, отчество, адрес пациента; реквизиты документа, удостоверяющего его личность;
  • наименование и адрес оператора, получающего согласие;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие пациента;
  • наименование и адрес лица, осуществляющего обработку персональных данных по поручению оператора;
  • перечень действий с персональными данными, описание способов обработки;
  • срок, в течение которого действует согласие, способ его отзыва;
  • подпись пациента.

Предоставление персональных данных без согласия пациента

Однако, в ряде случаев оператор персональных данных вправе производить обработку персональных данных без согласия субъекта персональных данных:

  1. в целях защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
  2. в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
  3. в целях осуществления положений законодательства об обязательных видах страхования, со страховым законодательством;
  4. для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности;
  5. в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных;
  6. для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, осуществления прав и законных интересов оператора или третьих лиц;
  7. осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе;
  8. в целях осуществления положений законодательства о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
  9. для достижения законных целей общественных объединений и религиозных организаций;
  10. для достижения целей, предусмотренных международным договором Российской Федерации, осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению, исполнения полномочий органов исполнительной власти;
  11. обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан;
  12. в иных целях.

Персональные данные пациентов

Некоторые из перечисленных выше случаев могут быть отнесены к сфере здравоохранения, что вроде бы дает возможность медицинской организации не брать с пациентов согласия на обработку их персональных данных. Однако, при более детальном рассмотрении казалось бы «пригодных к использованию» оснований их смысл оказывается весьма специфичен и неоднозначен. Например, коснувшись первого из перечисленных оснований («в целях защиты жизни, здоровья……») становится ясным, что это относится только к случаям оказания экстренной медицинской помощи, что ясное дело может являться превалирующим случаем. Второе из перечисленных оснований («в медико-профилактических целях, в целях установления медицинского диагноза…..») также оказывается годным далеко не на «каждый день» - в нем речь идет только о медицинских работниках, которые в силу своей профессии обязаны сохранять врачебную тайну. Остальные же работники медицинской организации могут обрабатывать персональные данные пациента по общему основанию, то есть только с его письменного согласия. Самым ярким примером таких работников являются администраторы, юристы клиники и иные должностные лица, к которым в частности относится и главный врач. Другие основания также имеют некоторые изъяны, которые следует корректно оценивать.

Более того стоит не забывать, что сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных. Стоит отметить, что в некоторых отраслях медицины используются и соответственно обрабатываются биометрические персональные данные, к коим можно в частности отнести рентгеновские снимки.

Таким образом, медицинским организациям не стоит спешить, отказываясь организовывать дачу пациентами письменных согласий на обработку их переданных, которые даже многим юристам кажутся необязательными. Стоит крепко задуматься и взвесить все «за» и «против» по данному вопросу. Риск нарушения законодательства о персональных данных зачастую весьма велик, а последствия серьезны, вплоть до привлечения виновных лиц к уголовной ответственности (ст. 137 УК РФ).

Предоставление персональных сведений, составляющих врачебную тайну, без согласия пациента

Также согласно ст. 13 Закона № 323-ФЗ предоставление персональных сведений, составляющих врачебную тайну, без согласия пациента или его законного представителя допускается:

  1. в целях проведения медицинского обследования и лечения гражданина, который в результате своего состояния не способен выразить свою волю;
  2. при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
  3. по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органов прокуратуры в связи с осуществлением ими прокурорского надзора, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля за поведением условно осужденного, осужденного, в отношении которого отбывание наказания отсрочено, и лица, освобожденного условно-досрочно;
  4. в случае оказания медицинской помощи несовершеннолетнему, больному наркоманией при оказании ему наркологической помощи или при медицинском освидетельствовании несовершеннолетнего в целях установления состояния наркотического либо иного токсического опьянения, а также несовершеннолетнему, не достигшему 15 – летнего возраста для информирования одного из его родителей или иного законного представителя;
  5. в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий;
  6. в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов, кадровых служб и военно-врачебных (врачебно-летных) комиссий федеральных органов исполнительной власти;
  7. в целях расследования несчастного случая на производстве и профессионального заболевания, а также несчастного случая с обучающимся во время пребывания в организации, осуществляющей образовательную деятельность;
  8. при обмене информацией медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи;
  9. в целях осуществления учета и контроля в системе обязательного социального страхования;
  10. в целях осуществления контроля качества и безопасности медицинской деятельности.

Также советуем Вам ознакомиться со статьями «Право пациента на защиту персональных данных» и «Право пациента на врачебную тайну». По вопросу проверок Роскомнадзора и иных органов надзора на предмет соблюдения обязательных требований законодательства РФ в области персональных данных рекомендуем прочитать статью «Роскомнадзор» и «Надзор в сфере защиты информации».

Содержится информация о медицинских услугах и лекарственных препаратах, имеющих противопоказания.
Проконсультируйтесь со специалистом! 18+

Продолжая использовать наш сайт, вы даете согласие на обработку файлов cookie, пользовательских данных (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) в целях функционирования сайта, проведения ретаргетинга и проведения статистических исследований и обзоров. Если вы не хотите, чтобы ваши данные обрабатывались, покиньте сайт.