Право пациента на защиту персональных данных
Персональные данные представляют собой любую информацию, относящеюся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных) (п.1 ст. 3 Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»). Медицинская организация обязана обеспечивать право пациента на защиту персональных данных в целях защиты его права на неприкосновенность частной жизни, личной и семейной тайны (ст. 22-24 Конституции РФ). В данной статье будет рассмотрено, что включает в себя право на защиту персональных данных. Правовые основы защиты персональных данных
Система защиты персональных данныхМедицинская организация, являясь оператором персональных данных, обязана обеспечить надежную защиту получаемых в ее распоряжение данных о пациенте. Персональные данные, обрабатываемые в медицине, должны быть защищены на очень высоком уровне защиты, что обеспечивается путем создания специальной системы персональных данных. В соответствии со ст. 78 Закона об основах охраны здоровья граждан медицинские организации имеют право создавать локальные информационные системы, содержащие данные о пациентах и об оказываемых им медицинских услугах, с соблюдением установленных законодательством Российской Федерации требований о защите персональных данных и соблюдением врачебной тайны. Создание систем защиты персональных данных регламентируется Законом о персональных данных и принятым в соответствии с ним Постановлением Правительства РФ от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее – Постановление Правительства РФ № 1119). В соответствии с данным Постановлением правительства система защиты персональных включает в себя: организационную защиту (журналы, приказы и пр.) и техническую защиту (при автоматизированном способе обработки персональных данных). Выбор средств защиты информации для системы защиты персональных данных осуществляется в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю (п. 4 Постановления Правительства РФ № 1119). При обработке персональных данных в информационных системах устанавливаются 4 уровня защищенности персональных данных. Медицинские организации могут самостоятельно выполнить мероприятия по обеспечению защиты персональных данных, но более надежным является прибегнуть к помощи специалистов. Такими знатоками являются организации, имеющие лицензию на техническую защиту конфиденциальной информации и специализирующиеся на создании и внедрении систем защиты персональных данных. Соотношение понятий персональные данные и врачебная тайнаВрачебная тайна представляет собой сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении. Соблюдение врачебной тайны является одним из основных принципов охраны здоровья (ст. 4 Закона об основах охраны здоровья). Врачебная тайна является особым режимом информации с ограниченным доступом. Если сравнивать понятия «персональные данные» и «врачебная тайна», то последнее является более узким понятием. Врачебная тайна выступает видом персональных данных, который становится известным медицинской организации при оказании медицинских услуг. Однако пациент имеет право на защиту любой информации о нем, которая стала известна медицинской организации. Конфиденциальность персональных данныхМедицинские организации, получившие доступ к персональным данным, обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия пациента, если иное не предусмотрено федеральным законом (ст. 7 Закона о персональных данных). Получение согласие пациента на обработку персональных данныхОбработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных действующим законодательством. Однако, не всегда требуется согласие пациента на обработку персональных данных. К таким данным, например, относятся паспортные данные, предоставленные пациентом в договоре на оказание медицинских услуг, данные о национальной принадлежности, политических взглядах, религиозных убеждениях. Следует отметить, что действующее законодательство четко предписывает получать письменное согласие пациента на обработку биометрических данных (ст. 11 Закона о защите персональных данных). К биометрическим данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность. В частности, к таким данным относятся рентгенологические данные. Содержание согласия на обработку персональных данныхСогласие в письменной форме пациента на обработку его персональных данных должно включать в себя, в частности:
Предоставление персональных данных пациента третьим лицамВ ст. 2 Закона о защите информации под предоставлением информации понимаются действия, направленные на получение информации определенным кругом лиц или передачу информации определенному кругу лиц. Закон об основах охраны здоровья разрешает медицинской организации разглашать другим лицам сведения, составляющие врачебную тайну (иные персональные данные пациента) только с письменного согласия пациента (его законного представителя). Разглашение сведений, составляющих врачебную тайну, другим гражданам, в том числе должностным лицам, в целях медицинского обследования и лечения пациента, проведения научных исследований, их опубликования в научных изданиях, использования в учебном процессе и в иных целях без согласия пациента также не допускается (ст. 13 Закона об основах охраны здоровья). Адвокатские запросы на получение персональных данных пациентаНа практики часто бывают случаи, когда адвокаты направляют в медицинские организации адвокатские запросы (не имея согласия пациента на разглашение врачебной тайны) на получение данных о конкретном человеке: о факте обращения, нахождения, диагнозе и прочее. В таких запросах адвокаты ссылаются на п.3. ст.6 Федерального закона от 31 мая 2002 г. № 63-ФЗ «Об адвокатской деятельности и адвокатуре в Российской Федерации», в соответствии с которым организации обязаны выдавать адвокату запрошенные им документы или их заверенные копии, необходимые для оказания юридической помощи в порядке, установленном действующим законодательством. Однако, как сказано выше в данной статье в соответствии с п. 4 ст. 13 Закона об основах охраны здоровья только закрытый перечень лиц может получать сведения, составляющие врачебную тайну. Адвокаты не относятся к субъектам, которым врачебная тайна может быть предоставлена без согласия гражданина. Ответственность за нарушение права на защиту персональных данныхЛица, виновные в нарушении требований действующего законодательства в области защиты персональных данных, несут предусмотренную законодательством Российской Федерации ответственность. Моральный вред, причиненный пациенту вследствие нарушения его прав, нарушения правил обработки персональных данных, а также требований к защите персональных данных, подлежит возмещению независимо от возмещения имущественного вреда и понесенных пациентом убытков. Так действующим законодательством предусмотрена административная ответственность, в частности, за:
Также возможно наступление уголовной ответственности, предусмотренной ст. 137 УК РФ (Нарушение неприкосновенности частной жизни) за незаконное собирание или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ. Для медицинского работника при использовании своего служебного положения это наказывается штрафом в размере от 100 000 до 300 000 рублей или в размере заработной платы или иного дохода осужденного за период от одного 1 до 2 лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от 2 до 5 лет, либо принудительными работами на срок до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет или без такового, либо арестом на срок до 6 месяцев, либо лишением свободы на срок до 4 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 5 лет. |