Алексей Кралько
ООО «ЮрСпектр» 28 апреля 2022 г. провело онлайн-аудиториум ilex на тему «Персональные данные в организациях здравоохранения». Докладчиком выступил Кралько Алексей Аркадьевич, к.м.н, доцент, врач, юрист, специалист в области медицинского права, общественного здоровья и здравоохранения.
В рамках мероприятия были рассмотрены ключевые моменты регулирования защиты персональных данных в организациях здравоохранения. Приведем наиболее актуальные из них.
После принятия в 2021 г. Закона о защите персональных данных у медицинских работников усилился интерес к проблеме защиты персональных данных, несмотря на то, что этот вопрос в определенной мере регулировался законодательством и ранее.
1. Закон об информации, информатизации и защите информации
Определение персональных данных впервые было дано в Законе об информации, информатизации и защите информации (абз. 24 ст. 1 Закона об информации, информатизации и защите информации). Защита информации о частной жизни физического лица и персональных данных этим Законом рассматривается как принцип правового регулирования информационных отношений (абз. 5 ст. 4 Закона об информации, информатизации и защите информации), а сохранение и неразглашение персональных данных — как цель защиты информации (абз. 3 ст. 27 Закона об информации, информатизации и защите информации). Персональные данные отнесены к информации, распространение и (или) предоставление которой ограничено (абз. 2 ч. 1 ст. 17 Закона об информации, информатизации и защите информации). Указанным Законом установлены общие требования к сбору, обработке, хранению персональных данных и их защите (ст. 18, 32 Закона об информации, информатизации и защите информации).
2. Закон о регистре населения
Общественные отношения, возникающие при осуществлении деятельности по внесению персональных данных физических лиц в регистр населения, их актуализации, исключению, хранению, восстановлению, предоставлению, использованию и защите, в 2008 г. урегулированы Законом о регистре населения. Персональные данные, вносимые в регистр населения, классифицированы на основные и дополнительные (ст. 8, 10 Закона о регистре населения). Установлено, что Минздрав вносит в регистр населения данные об инвалидности (подп. 2.18 п. 2 ст. 12 Закона о регистре населения), а персональные данные, содержащиеся в регистре, могут использоваться в целях оптимизации размещения организаций здравоохранения (подп. 3.9 п. 3 ст. 29 Закона о регистре населения). Постановлением МВД N 84 установлен образец электронного документа, содержащего персональные данные физического лица об инвалидности.
3. Закон о здравоохранении и приказ Минздрава N 536
Последняя редакция Закона о здравоохранении, которая вступила в силу раньше Закона о защите персональных данных, также предусмотрела регулирование вопросов защиты персональных данных:
установлено, что в рамках эксплуатации централизованной информационной системы здравоохранения (ЦИСЗ) осуществляется обезличивание персональных данных лиц, которым оказывается медицинская помощь (абз. 4 ч. 3 ст. 37-6 Закона о здравоохранении), порядок обезличивания персональных данных урегулирован постановлением Минздрава N 64;
предусмотрено получение согласия, отзыв согласия на внесение и обработку персональных данных пациента или лиц, указанных в ч. 2 ст. 18 Закона о здравоохранении, информации, составляющей врачебную тайну, отказ от их внесения и обработки при формировании электронной медицинской карты пациента, информационных систем, информационных ресурсов, баз (банков) данных, реестров (регистров) в здравоохранении (ч. 13 ст. 44 Закона о здравоохранении). Формы и порядок дачи и отзыва согласия на внесение и обработку персональных данных пациента содержатся в постановлении Минздрава N 74.
В 2018 г. приказом Минздрава N 536 была определена структура интегрированной электронной медицинской карты (ИЭМК), один из разделов которой должен содержать персональные данные. Этот раздел предназначен для внесения и хранения таких персональных данных пациента, как Ф.И.О., идентификационный номер его ИЭМК (идентификационный номер пациента (ID пациента)) в ЦИСЗ, дата рождения, возраст, пол, сведения о документах, удостоверяющих личность пациента, адрес места жительства (места пребывания) и номера контактных телефонов пациента, а также сведения о полисе добровольного медицинского страхования и прочее (п. 7.3 приложения 3 к приказу N 536). Установлено, что данный раздел содержит необходимую информацию о пациенте для его однозначной идентификации, а информация о пациенте, хранящаяся в разделе, является неразглашаемой.
4. Закон о защите персональных данных
После вступления в силу Закона о защите персональных данных регулирование вопросов персональных данных в здравоохранении приобрело определенную завершенность. Закон определил понятия «биометрические персональные данные», «генетические персональные данные», которые, в свою, очередь, входят в понятие «специальные персональные данные». При этом установлено, что согласие субъекта персональных данных на обработку специальных персональных данных не требуется в целях организации оказания медицинской помощи при условии, что такие персональные данные обрабатываются медицинским, фармацевтическим или иным работником здравоохранения, на которого возложены обязанности по обеспечению защиты персональных данных и в соответствии с законодательством распространяется обязанность сохранять врачебную тайну (абз. 5 п. 2 ст. 8 Закона о защите персональных данных). Таким образом, законодатель в соответствии с п. 3 ст. 3 Закона о защите персональных данных отсылает нас к Закону о здравоохранении, в котором подробно регламентированы вопросы сохранения врачебной тайны. Согласие субъекта персональных данных на обработку специальных персональных данных не требуется для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно (абз. 15 п. 2 ст. 8 Закона о защите персональных данных).
В организациях здравоохранения требуется защита персональных данных не только при оказании медицинской помощи пациенту, но и при формировании ЦИСЗ, электронных и бумажных медицинских карт, а также при решении кадровых вопросов, при взаимодействии с третьими лицами, при обработке персональных данных в облаке и на сайте организации здравоохранения. При этом субъектами персональных данных выступает широкий круг лиц:
— пациенты и их законные представители;
— кандидаты на трудоустройство;
— работники, в том числе уволенные, а также их родственники;
— студенты и учащиеся, проходящие практику;
— работники и иные представители контрагентов — юридических лиц;
— контрагенты — физические лица;
— абитуриенты учреждений образования, заключающие с организацией здравоохранения договоры на целевое обучение;
— физические лица, не относящиеся к вышеуказанным категориям субъектов, обратившиеся с заявлением (обращением, жалобой);
— иные субъекты, взаимодействие с которыми создает необходимость обработки персональных данных.
В организациях здравоохранения субъекты персональных данных имеют право (ст. 10 — 13, 15 Закона о защите персональных данных):
— на отзыв согласия;
— доступ и получение информации об обработке персональных данных;
— изменение персональных данных;
— получение информации о передаче данных;
— прекращение обработки данных (их удаление);
— обжалование действий (бездействия) оператора.
Пациенты также имеют право на отказ от внесения информации, составляющей врачебную тайну, в ЦИСЗ (абз. 8 ч. 1 ст. 41 Закона о здравоохранении).
Заявление о реализации любого из прав должно подаваться в форме письменного документа либо в форме электронного документа, подписанного электронной цифровой подписью субъекта персональных данных.
Обработка персональных данных в здравоохранении должна проводиться в соответствии с требованиями ст. 4 Закона о защите персональных данных.
Одно из главных требований состоит в том, что обработка персональных данных должна ограничиваться достижением заранее заявленных конкретных целей. Не допускается обработка персональных данных, не совместимая с первоначально заявленными целями их обработки (ч. 1 п. 4 ст. 4 Закона о защите персональных данных).
О целях обработки персональных данных в организациях здравоохранения, получении согласия на их обработку, назначении ответственных лиц, а также иные вопросы обработки и защиты персональных данных в организации здравоохранения читайте в ilex.
