Что нужно знать при работе с персональными данными пациентов

Отвечает эксперт службы правового консалтинга «Гарант» Лариса Амирова:

– В соответствии со ст.18.1 Федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных» операторы обязаны принимать меры, необходимые и достаточные для обеспечения выполнения требований, предусмотренных законодательством в области персональных данных (ПД). Операторами в рамках применения закона выступают орган власти, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующее и (или) осуществляющее обработку ПД, а также определяющее цели обработки, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с ними (п.2 ст.3).

Персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту ПД), а любое действие (операция) или совокупность действий, совершаемых с ПД с использованием средств автоматизации или без, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение, считается их обработкой (пп.1, 3 ст.3).

Таким образом, юридические лица, независимо от их организационно-правовой формы, а также иные поименованные в п.2 ст.3 закона № 152-ФЗ лица, так или иначе осуществляющие действия (операции) или их совокупность с ПД, выступают операторами в силу закона.

К мерам, обязанность по применению которых возложена на оператора, отнесено в числе прочего издание документов, определяющих политику оператора в отношении обработки ПД (п.2 ч.1 ст.18.1). Юридическое лицо – оператор при сборе ПД с использованием информационно-телекоммуникационных сетей (включая интернет) обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПД, к сведениям о реализуемых требованиях к защите ПД. Оператор, осуществляющий сбор ПД с использованием информационно-телекоммуникационных сетей, обязан опубликовать в них, в том числе на страницах принадлежащего оператору сайта в интернете документ, определяющий его политику в отношении обработки ПД, и сведения о реализуемых требованиях к их защите, а также обеспечить возможность доступа к этому документу с использованием средств соответствующей информационно-телекоммуникационной сети.

То есть политика оператора в отношении обработки персональных данных – это документ, в котором раскрываются концептуальные основы, принципы обеспечения безопасности ПД субъектов на уровне конкретного хозяйствующего субъекта.

Роскомнадзор рекомендует включать в этот документ следующие разделы:

• цели сбора ПД;
• правовые основания обработки ПД;
• объем и категории обрабатываемых ПД;
• порядок и условия обработки ПД;
• актуализация, исправление, удаление и уничтожение ПД, ответы на запросы субъектов на доступ к ПД.

По желанию оператора могут включаться и иные разделы (см. Рекомендации Роскомнадзора от 31.07.2017).

Обработка персональных данных возможна либо с согласия субъектов ПД (п.1 ч.1 ст.6, ч.1 ст.10, ч.1 ст.11 закона № 152-ФЗ), либо в случаях, исчерпывающим образом перечисленных в пп.2—11 ч.1 ст.6, ч.2 ст.10, ч.2 ст.11 закона № 152-ФЗ.

Ч.2 ст.9 закона № 152-ФЗ закреплено право субъекта в любое время отозвать свое согласие на обработку его персональных данных. Способ отзыва согласия, в том числе форма и сроки отзыва, должны предусматриваться соглашением (п.8 ч.4 ст.9 закона № 152-ФЗ).

При этом оператор может продолжить обработку ПД без согласия физического лица при наличии оснований, указанных в пп.2—11 ч.1 ст.6, ч.2 ст.10 и ч.2 ст.11 закона № 152-ФЗ. В частности, такая обработка допускается, если она необходима для достижения целей, предусмотренных законом, осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей (п.2 ч.1 ст.6 закона № 152-ФЗ); для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому выступает субъект ПД, а также для заключения договора по инициативе субъекта ПД или договора, по которому субъект ПД будет выгодоприобретателем или поручителем (п.5 ч.1 ст.6 закона № 152-ФЗ); для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение его согласия невозможно (п.6 ч.1 ст.6 закона № 152-ФЗ).

П.4 ч.2 ст.10 закона № 152-ФЗ предусмотрено, что обработка специальных категорий персональных данных, касающихся в числе прочего состояния здоровья физического лица, осуществляемая в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что она осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну, допускается без согласия этого лица. Конституционный суд РФ в определении № 1176-О от 16.07.2013 разъяснил, что приведенное законоположение позволяет хранить информацию о состоянии здоровья граждан исключительно в целях реализации их права на охрану здоровья и медицинскую помощь, при этом конфиденциальность ПД обеспечивается врачебной тайной, а потому оно не может рассматриваться как нарушающее конституционные права граждан. Иными словами, такая обработка ПД будет законна без согласия пациента при ее осуществлении исключительно медицинским персоналом. Аналогичная позиция изложена в письме Минздрава РФ № 18-1/10/2-6945 от 11.09.2014.

Отметим также, что не требуется согласия субъекта ПД на обработку конфиденциальной информации, если она осуществляется в соответствии с законодательством об обязательном медицинском страховании (п.8 ч.2 ст.10 закона № 152-ФЗ). На возможность обработки ПД пациента без его согласия указано также в пп.8, 9 ч.4 ст.13 Федерального закона № 323-ФЗ от 21.11.2011 «Об основах охраны здоровья граждан в Российской Федерации», в силу которых сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медобследовании и лечении (врачебная тайна), могут передаваться при обмене информацией медорганизациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства РФ о персональных данных, а также в целях осуществления учета и контроля в системе обязательного социального страхования.

Следовательно, пока между пациентом и медорганизацией существуют правоотношения, связанные с оказанием медуслуг в рамках договора или обязательного медицинского страхования, медорганизация вправе обрабатывать необходимый объем информации о пациенте без его согласия в течение установленного срока (см. письмо Роскомнадзора № 08-85970 от 23.09.2022). Если же обработка ПД будет выходить за рамки указанных отношений, то необходимо заручиться письменным согласием пациента или его законных представителей, содержание которого должно соответствовать требованиям ч.4 ст.9 закона № 159-ФЗ. Например, такое согласие потребуется, если медицинская помощь оказывается пациенту на платной основе, вне программы государственных гарантий, и сведения передаются третьим лицам (организациям), не имеющим статуса медорганизаций (в страховую организацию и (или) страхователю по дополнительному медстрахованию (когда сам пациент или его законный представитель таковым не является); информация о состоянии здоровья пациента передается лицам, указанным самим пациентом или его законным представителем (ч.5 ст.19 закона № 323-ФЗ); передача медицинских документов, содержащих ПД пациента, осуществляется по открытым каналам связи (интернет, электронная почта) и др.

Таким образом, отдельное согласие гражданина требуется только в том случае, если обработка его персональных данных не подпадает под исключения, перечисленные в законе.

В соответствии с требованиями ч.5 ст.18 закона № 152-ФЗ при сборе ПД организации обязаны обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, указанных в пп.2, 3, 4, 8 ч.1 ст.6 закона № 152-ФЗ.

При обработке ПД медорганизация на основании ст.18.1, 19 закона № 152-ФЗ обязана принимать необходимые правовые, организационные и технические меры для защиты ПД от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении ПД.

Положениями ст.7 закона № 152-ФЗ закреплен принцип конфиденциальности персональных данных, в силу которого медорганизации, получившие к ним доступ, обязаны не раскрывать третьим лицам и не распространять ПД без согласия субъекта ПД, если иное не предусмотрено федеральным законом.

Таким образом, оказывая гражданам медицинские услуги посредством интернета, медорганизация обязана разместить на своем сайте политику в отношении обработки персональных данных и сведения о реализуемых требованиях к их защите, а также обеспечить возможность доступа к этому документу с использованием средств соответствующей информационно-телекоммуникационной сети. Согласие на обработку ПД необходимо получать только в том случае, если их обработка не подпадает под исключения, перечисленные в законе, и не необходима для достижения целей обработки ПД, определенных оператором.

Более того, исполнителям запрещено отказывать потребителям в заключении, исполнении, изменении или расторжении договора по мотиву отказа потребителя предоставить персональные данные или в случае, когда потребитель отказывается подписывать согласие на обработку ПД. Исключением могут быть случаи, когда обязанность предоставления таких данных предусмотрена законодательством или непосредственно связана с исполнением договора (п.4 ст.16 Федерального закона № 2300-I от 07.02.1992 «О защите прав потребителей», п.5 ч.1 ст.6 закона № 152-ФЗ).

При этом истечение срока действия гражданско-правового договора само по себе не означает автоматического прекращения обработки персонифицированной информации о контрагенте. Условия прекращения обработки конфиденциальной информации или конкретные временные рамки ее обработки определяет оператор самостоятельно. В силу ч.7 ст.5 закона № 152-ФЗ хранение персональных данных физических лиц должно осуществляться не дольше, чем этого требуют цели такой обработки, если срок хранения ПД не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому выступает физическое лицо. Так, например, пп.8 п.1 ст.23 Налогового кодекса РФ обязывает налогоплательщиков в течение четырех лет обеспечивать сохранность данных бухгалтерского и налогового учета и других документов, необходимых для исчисления и уплаты налогов, в том числе документов, подтверждающих получение доходов, осуществление расходов, а также уплату (удержание) налогов.