Законодательство о защите персональных данных: практика применения медицинскими организациями

7418

В российской теории права существенно повысился интерес к теме правовой защиты сферы частной жизни человека, что связано с развитием общественных отношений, технологическим прогрессом, ростом научных достижений. Стремительная информатизация общественных отношений, переход к повсеместному использованию компьютеризированных баз данных придают особую значимость вопросам обеспечения правовой защиты информации о частной жизни человека.

Характер медицинской деятельности определяет необходимость использования большого количества персональных данных о пациенте. В связи с этим на настоящий момент крайне актуальными являются вопросы правового регулирования такой деятельности.

Нормативно-правовыми актами, регламентирующими требования к организации обработки персональных данных в медицинских организациях, являются:

  • Основы законодательства Российской Федерации об охране здоровья граждан (далее – Основы);
  • Федеральный закон от 27.07.2006 № 149-ФЗ “Об информации, информационных технологиях и о защите информации”;
  • Федеральный закон от 27.07.2006 № 152-ФЗ “О персональных данных” (далее – Закон № 152-ФЗ);
  • Указ Президента РФ от 06.03.1997 № 188 “Об утверждении перечня сведений конфиденциального характера” (с изм. и доп.);
  • постановление Правительства РФ от 17.11.2007 № 781 “Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных”.

Сфера охраны здоровья гражданина требует первоочередной защиты информации о частной жизни лица. Однако при изучении трактовки действующего законодательства можно отметить значительное число коллизий и затруднительных для исполнения моментов. Вопрос защиты конфиденциальной информации в сфере медицинской деятельности отрегулирован, в основном, двумя из вышеперечисленных актов: права пациента, связанные с информацией и конфиденциальностью, изложены в ст. 31 и 61 Основ, а Законом № 152-ФЗ регламентируются отношения, возникающие в связи с обработкой персональных данных с использованием средств автоматизации применительно к деятельности медицинских организаций.

Категории персональных данных

В соответствии с Законом № 152-ФЗ персональными данными является любая информация, связанная с физическим лицом (субъектом персональных данных), позволяющая идентифицировать конкретное физическое лицо среди прочих лиц. В персональных данных физического лица выделяют общие и специальные категории (рисунок). Законодательство о защите персональных данных: практика применения медицинскими организациями

Категории персональных данных

Обработкой персональных данных является любое из следующих действий: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т. ч. передача), обезличивание, блокирование, уничтожение персональных данных.

Для обработки персональных данных, относимых к общим категориям, обязательно наличие согласия на это субъекта персональных данных. При отсутствии согласия субъекта обработка общих категорий персональных данных допускается в случае, если:

  • она осуществляется на основании и во исполнение федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора, т. е. правовым основанием для такой обработки всегда должен являться федеральный закон;
  • обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных, т. е. в качестве основания для обработки выступает договор, заключенный между субъектом персональных данных и оператором, который косвенно (но не прямо! – если такого положения не содержится в условиях заключенного договора) подтверждает согласие субъекта на обработку таких данных;
  • обработка персональных данных осуществляется в статистических или иных научных целях при условии обязательного обезличивания персональных данных;
  • обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
  • обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услуг связи;
  • обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
  • осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в т. ч. персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

В отношении специальных категорий персональных данных ситуация обстоит несколько сложнее. В соответствии с Законом № 152-ФЗ обработка специальных категорий допускается в случае, если:

  • субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных. В данном условии и заключается коллизия: согласия субъекта достаточно как для обработки общих персональных данных, так и для обработки специальных персональных данных;
  • персональные данные являются общедоступными;
  • персональные данные относятся к состоянию здоровья субъекта персональных данных, и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;
  • обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка данных производится лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну;
  • обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующим общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
  • обработка персональных данных необходима в связи с осуществлением правосудия;
  • обработка персональных данных осуществляется в соответствии с законодательством РФ о безопасности, оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством РФ.

Медицинская организация как оператор обработки персональных данных

Обработку персональных данных осуществляют операторы. Законом № 152-ФЗ установлено, что оператор – это государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных.

В соответствии с требованиями ст. 22 Закона № 152-ФЗ операторы, осуществляющие обработку персональных данных, должны уведомлять об этом уполномоченный орган, за исключением случаев, перечисленных в законе. Постановлением Правительства РФ от 15.12.2007 № 878 “О некоторых вопросах деятельности Федеральной службы по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия” данным уполномоченным органом определена Федеральная служба по надзору в сфере массовых коммуникаций, связи и охраны культурного наследия (Россвязьохранкультура). Порядок направления указанного уведомления определен приказом Россвязькомнадзора от 17.07.2008 № 08 “Об утверждении образца формы уведомления об обработке персональных данных”.

Медицинская организация обретает статус оператора обработки персональных данных относительно своих сотрудников и пациентов (таблица).

Обработка общих и специальных персональных данных в медицинской организации

Общие персональные данные

Конкретизация данных

Примеры обработки

Фамилия, имя, отчество, дата и место рождения, адрес, профессия

Обработка персональных данных сотрудников в деятельности кадровых служб ЛПУ

Обработка персональных данных пациентов в связи с их обращениями в ЛПУ (в рамках обязательного медицинского страхования, добровольного медицинского страхования, для оказания платной медицинской услуги)

Сведения о доходах лица

Обработка персональных данных сотрудников бухгалтерией ЛПУ

Специальные персональные данные

Сведения о состоянии здоровья, интимной жизни субъекта персональных данных

Обработка персональных данных пациентов в связи с их обращениями в ЛПУ в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну

Сведения, которые характеризуют физиологические особенности человека и на основе которых можно установить его личность (биометрические персональные данные)

Персональные данные для обработки предоставляют субъекты персональных данных – сотрудники и пациенты медицинской организации.

Получение согласия субъекта на обработку его персональных данных

Законом установлено, что оператор, осуществляющий обработку персональных данных (в данном случае ЛПУ), обязан предоставить доказательство согласия субъекта на обработку его персональных данных. Таким образом, устанавливается презумпция вины оператора, и в случае несоблюдения им обязанности получить данное согласие риски несет медицинская организация.

Документ, фиксирующий факт получения согласия субъекта персональных данных, включает в себя:

  • фамилию, имя, отчество, адрес пациента, номер основного документа, удостоверяющего его личность, сведения о дате его выдачи и выдавшем органе;
  • наименование и адрес оператора обработки персональных данных;
  • цель обработки персональных данных;
  • перечень персональных данных, на обработку которых дается согласие пациента;
  • перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
  • срок, в течение которого действует согласие, а также порядок его отзыва.

Рассмотрим данную ситуацию более детально. Пациент, обращающийся за медицинской помощью, вынужден предоставить, а медицинская организация – истребовать от пациента документ, подтверждающий его согласие на обработку своих персональных данных. Таким образом, помимо письменного согласия на разглашение сведений, составляющих врачебную тайну, лицам, указанным пациентом, ему необходимо предоставить еще и вышеуказанный документ. Возникает вопрос: есть ли в этом смысл? Ведь по сути любая информация об обращении лица в ЛПУ уже сама по себе является конфиденциальной и не может быть разглашена без его ведома и помимо его воли в силу того, что это отражено в Основах. Требование от пациента согласия на обработку его персональных данных более актуально при обращении пациентов не напрямую в ЛПУ, а через страховщика, т. к. в данном случае между страховщиком и ЛПУ происходит обмен сведениями, составляющими конфиденциальную информацию о пациенте.

Или другая ситуация: при устройстве на работу у сотрудника требуют заполнить согласие на обработку своих персональных данных работодателем – ЛПУ. Возникает вопрос: с какой целью? Какие последствия это повлечет за собой? А если сотрудник откажется, неужели работодатель не вправе будет начислить сотруднику заработную плату или удержать из его заработной платы подоходный налог, взносы в пенсионный фонд? Ведь здесь работодатель неизбежно столкнется с вопросами обработки персональных данных, а согласие сотрудника на это не получено.

Обработка персональных данных в ЛПУ должна осуществляться с соблюдением необходимых, но разумных мер, обеспечивающих конфиденциальность информации и ее защиту от несанкционированного доступа. Конфиденциальность персональных данных – это обязательное для соблюдения оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания для такого распространения. Статьей 61 Основ устанавливаются законные основания для нарушения условия конфиденциальности, и, на наш взгляд, дополнительные меры защиты информации являются в ряде случаев излишними.

Кроме того, ст. 7 Закона № 152-ФЗ установлено, что обеспечение конфиденциальности персональных данных не требуется в случае их обезличивания и в отношении общедоступных персональных данных.

К сведению

<…>

С согласия гражданина или его законного представителя допускается передача сведений, составляющих врачебную тайну, другим гражданам, в том числе должностным лицам, в интересах обследования и лечения пациента, для проведения научных исследований, публикации в научной литературе, использования этих сведений в учебном процессе и в иных целях.

Предоставление сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя допускается:

1) в целях обследования и лечения гражданина, не способного из-за своего состояния выразить свою волю;

2) при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;

3) по запросу органов дознания и следствия и суда в связи с проведением расследования или судебным разбирательством;

4) в случае оказания помощи несовершеннолетнему в возрасте, установленном частью второй статьи 24 настоящих Основ, для информирования его родителей или законных представителей;

5) при наличии оснований, позволяющих полагать, что вред здоровью гражданина причинен в результате противоправных действий;

6) в целях проведения военно-врачебной экспертизы в порядке, установленном положением о военно-врачебной экспертизе, утверждаемым Правительством Российской Федерации.

<…>

Статья 61 Основ законодательства Российской Федерации об охране здоровья граждан

Во избежание нарушения требования конфиденциальности руководителям медицинских организаций следует утвердить перечень должностных лиц, допущенных к обработке персональных данных пациентов, зафиксировать порядок их доступа к конфиденциальным сведениям, определить их права, обязанности и ответственность соответствующими должностными инструкциями.

Обязанности оператора обработки персональных данных

При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе следующую информацию:

  • подтверждение факта обработки персональных данных оператором, а также цель данной обработки;
  • способы обработки персональных данных, применяемые оператором;
  • сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;
  • перечень обрабатываемых персональных данных и источник их получения;
  • сроки обработки персональных данных, в т. ч. сроки их хранения;
  • сведения о том, какие юридические последствия для субъекта может повлечь за собой обработка его персональных данных;
  • разъяснения последствий его отказа в предоставлении своих персональных данных в случае, если это установлено в качестве обязанности субъекта федеральным законом.

Если персональные данные были получены не от субъекта персональных данных1, оператор до начала их обработки обязан предоставить субъекту следующую информацию:

  • наименование (фамилия, имя, отчество) и адрес оператора или его
  • представителя, от которого были получены данные;
  • цель обработки персональных данных и ее правовое основание;
  • предполагаемые пользователи персональных данных;
  • установленные права субъекта персональных данных.

Например, это актуально, если пациент обращается в ЛПУ в рамках обязательного медицинского страхования либо добровольного медицинского страхования, тогда страховая компания предоставляет в ЛПУ персональные данные пациента.

Помимо Закона № 152-ФЗ следует отметить еще один нормативно-правовой акт – постановление Правительства РФ от 17.11.2007 № 781 “Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных”. В данном Положении зафиксирована весьма важная обязанность операторов, а именно:

  • обмен персональными данными при их обработке в информационных системах осуществляется по каналам связи, защита которых обеспечивается путем реализации соответствующих организационных мер и (или) путем применения технических средств;
  • размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима обеспечения безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

Права субъекта персональных данных

Субъект персональных данных в соответствии с Законом № 152-ФЗ обладает следующими правами:

  • получения сведений об операторе, месте его нахождения, наличии у оператора персональных данных, относящихся к субъекту, правом ознакомления с такими персональными данными;
  • требования от оператора уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принятия предусмотренных законом мер по защите своих прав;
  • на предоставление оператором сведений о наличии персональных данных в доступной форме;
  • на доступ к персональным данным законного представителя субъекта на основании запроса;

(Термин “законный представитель” расшифровывается в ст. 26 Гражданского кодекса РФ (это родители, усыновители или попечитель лица в возрасте от 14 до 18 лет). При необходимости оказания медицинской помощи лицу, не достигшему возраста совершеннолетия, перед ЛПУ встает ряд вопросов, касающихся участия в данном процессе его законного представителя. Зачастую сотрудниками ЛПУ неверно трактуется понятие законного представителя, и под ним понимается лицо, которому пациент доверяет информацию о факте его обращения за медицинской помощью, состоянии здоровья, диагнозе заболевания и иные сведения, полученные при его обследовании и лечении в силу ст. 61 Основ. Тем не менее, статус законного представителя иной: он вправе осуществлять от имени представляемого любые действия, в т. ч. и определять, кому будет разглашена информация, составляющая врачебную тайну пациента. У лица же, которому могут быть переданы сведения, составляющие врачебную тайну, никаких прав по вступлению в гражданские правоотношения от имени пациента нет. )

  • на получение при обращении или при получении запроса информации, касающейся обработки его персональных данных, в т. ч. содержащей:

– подтверждение факта обработки персональных данных оператором, а также цель такой обработки;

– способы обработки персональных данных, применяемые оператором;

– сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

– перечень обрабатываемых персональных данных и источник их получения;

– сроки обработки персональных данных, в т. ч. сроки их хранения;

– сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

В Основах отражены права пациента на конфиденциальность информации о своем здоровье и обязанность врача соблюдать врачебную тайну. С принятием Закона № 152-ФЗ можно говорить о большей конкретизации и детализации этих положений. ЛПУ следует хорошо ориентироваться в вопросах законодательства, регулирующего защиту персональных данных, поскольку это затрагивает интересы его информационной безопасности.


1 За исключением случаев, если персональные данные были предоставлены оператору на основании федерального закона или если персональные данные являются общедоступными.



Ваша персональная подборка

    Подписка на статьи

    Чтобы не пропустить ни одной важной или интересной статьи, подпишитесь на рассылку. Это бесплатно.

    Рекомендации по теме

    Мероприятия

    Мероприятия

    Повышаем квалификацию

    Посмотреть

    Самое выгодное предложение

    Самое выгодное предложение

    Воспользуйтесь самым выгодным предложением на подписку и станьте читателем уже сейчас

    Живое общение с редакцией

    А еще...








    Наши продукты






















    © МЦФЭР, 2006 – 2017. Все права защищены.

    Портал zdrav.ru - медицинский портал для медицинских работников. Новости и статьи для главных врачей, медицинских сестер, заместителей главного врача, специалистов по качеству медицинской помощи, заведующих КДЛ, медицинских юристов, экономистов ЛПУ, провизоров и руководителей аптек.

    Информация на данном сайте предназначена только для медицинских работников. Ознакомьтесь с соглашением об использовании.
    Свидетельство о регистрации средства массовой информации ПИ № ФС77-64203 от 31.12.2015.

    Политика обработки персональных данных

    
    • Мы в соцсетях
    Сайт использует файлы cookie. Они позволяют узнавать вас и получать информацию о вашем пользовательском опыте. Это нужно, чтобы улучшать сайт. Если согласны, продолжайте пользоваться сайтом. Если нет – установите специальные настройки в браузере или обратитесь в техподдержку.
    Сайт предназначен для медицинских работников!

    Чтобы продолжить чтение статей на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
    Это займет всего 57 секунд. Для вас будут доступны:

    — 9400 статей
    — 4000 ответов на вопросы
    — 80 видеосеминаров
    — множество форм и образцов документов
    — бесплатная правовая база
    — полезные калькуляторы

    Вы также получите подарок — журнал в формате pdf

    У меня есть пароль
    напомнить
    Пароль отправлен на почту
    Ввести
    Я тут впервые
    И получить доступ на сайт Займет минуту!
    Введите эл. почту или логин
    Неверный логин или пароль
    Неверный пароль
    Введите пароль
    Сайт предназначен для медицинских работников!

    Чтобы продолжить чтение статей на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
    Это займет всего 57 секунд. Для вас будут доступны:

    — 9400 статей
    — 4000 ответов на вопросы
    — 80 видеосеминаров
    — множество форм и образцов документов
    — бесплатная правовая база
    — полезные калькуляторы

    Вы также получите подарок — pdf- журнал «Здравоохранение»

    У меня есть пароль
    напомнить
    Пароль отправлен на почту
    Ввести
    Я тут впервые
    И получить доступ на сайт Займет минуту!
    Введите эл. почту или логин
    Неверный логин или пароль
    Неверный пароль
    Введите пароль
    ×
    Сайт предназначен для медицинских работников!

    Чтобы скачать файл на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
    Это займет всего 57 секунд. Для вас будут доступны:

    — 9400 статей
    — 4000 ответов на вопросы
    — 80 видеосеминаров
    — множество форм и образцов документов
    — бесплатная правовая база
    — полезные калькуляторы

    Вы также получите подарок — pdf- журнал «Здравоохранение»

    У меня есть пароль
    напомнить
    Пароль отправлен на почту
    Ввести
    Я тут впервые
    И получить доступ на сайт Займет минуту!
    Введите эл. почту или логин
    Неверный логин или пароль
    Неверный пароль
    Введите пароль
    ×
    Сайт предназначен для медицинских работников!

    Чтобы скачать файл на портале ZDRAV.RU, пожалуйста, зарегистрируйтесь.
    Это займет всего 57 секунд. Для вас будут доступны:

    — 9400 статей
    — 4000 ответов на вопросы
    — 80 видеосеминаров
    — множество форм и образцов документов
    — бесплатная правовая база
    — полезные калькуляторы

    Вы также получите подарок — pdf- журнал «Здравоохранение»

    У меня есть пароль
    напомнить
    Пароль отправлен на почту
    Ввести
    Я тут впервые
    И получить доступ на сайт Займет минуту!
    Введите эл. почту или логин
    Неверный логин или пароль
    Неверный пароль
    Введите пароль
    ×