logotip-500x287
Консультация медицинского юриста
8 (495) 66-44-756
с 10:00 до 19:00 — понедельник - пятница

Право пациента на защиту персональных данных

Помимо Конституции РФ, Указа Президента РФ “О перечне сведений конфиденциального характера” и прочих нормативных актов, Федеральный закон Российской Федерации от 27 июля 2006 г. № 152 ФЗ “О персональных данных” является базовым в сфере защиты персональных данных граждан. Данный закон принят во исполнение международных обязательств РФ, возникших после подписания и ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных от 28 января 1981 года. Конвенция ратифицирована и подписана от имени Российской Федерации в Страсбурге 7 ноября 2001 года.

Персональные данные физических лиц

В соответствии с законодательством РФ, при осуществлении медицинской деятельности, организации, выступающие операторами, организуют и осуществляют обработку персональных данных, а также определяют цели и содержание данной обработки. К персональным данным законодатель относит любую информацию, относящуюся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных) и относящуюся к категории конфиденциальной информации. Пункт 1 статьи 3 № 152 ФЗ отражает исчерпывающий перечень персональной информации субъекта, а именно фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация. Под обработкой персональных данных закон определяет совокупность действий (операций) с персональными данными совершаемых без использования средств автоматизации и с использованием таковых средств. Перечень действий включает сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. Комплекс мероприятий технического, организационного и организационно-технического характера, направленных на защиту сведений, относящихся к определенному лицу, составляет защиту персональных данных.

Правовые основы защиты персональных данных

Гражданам РФ гарантированы права на свободу и личную неприкосновенность Конституцией РФ (пункт 1 статьи 22), а также, Конституция РФ гарантирует право на неприкосновенность частной жизни, личную и семейную тайну, защиту своей чести и доброго имени (пункт 1 статьи 23) и не допустимость сбора, хранения, использования и распространения информации о частной жизни лица без его согласия (пункт 1 статьи 24). Обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну реализуется вышеуказанным Федеральным законом “О персональных данных”.

Право пациента на защиту персональных данных бесспорно и должно быть соблюдено всеми участниками правоотношений. Медицинская защита персональных данных, если так можно сказать, лежит “на плечах” медицинской организации.

Субъекты персональной информации в медицинской организации

Медицинская организация осуществляет обработку персональных данных (далее ПДн) следующих категорий субъектов: потребители (пациенты) от имени которых могут выступать так же их представители и заказчики. Стоит отметить, что не всякую информацию, которую пациент предоставляет медицинской организации, следует квалифицировать как ПДн. Анализ устойчивой судебной практики позволяет прийти к выводу, что, если личность пациента не была достоверно идентифицирована, то такие данные не могут быть отнесены к ПДн.

Важно отметить и то, что общим условием обработки персональных данных является согласие пациента на осуществление такой обработки.

Форма согласия на обработку персональных данных

На данный момент законодатель не устанавливает типовой формы данного документа. Однако в статье 9 № 152 ФЗ, содержится условие обработки персональных данных субъекта (пациента) только при наличии его согласия в письменной форме с содержанием: 1) фамилии, имени, отчества, адреса субъекта (пациента) персональных данных, номера основного документа, удостоверяющего его личность, сведений о дате выдачи указанного документа и выдавшем его органе; 2) наименовании и адреса оператора (медицинской организации), получающего согласие субъекта персональных данных; 3) целей обработки персональных данных; 4) перечня персональных данных, на обработку которых дается согласие субъекта персональных данных; 5) перечня действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных; 6) срока действия согласия, а также порядок его отзыва.

Необходимо отметить, что в случае недееспособности пациента, правом согласия на обработку персональных данных, законодатель наделяет его законного представителя. Кроме того, законодатель предусматривает возможность обработки ПДн без согласия пациента, при необходимости оказания ему экстренной помощи, а также в целях проведения медицинского обследования и лечения пациента, который в результате своего состояния не способен выразить свою волю.

Отзыв согласия на обработку персональных данных

В случае отзыва пациентом согласия на обработку персональных данных, в соответствии с пунктом 5 статьи 21 № 152 ФЗ, медицинская организация (оператор персональных данных) обязана прекратить обработку персональных данных и уничтожить ПДн в срок, не превышающий трех рабочих дней с даты поступления указанного отзыва. Об уничтожении персональных данных медицинская организация обязана уведомить пациента (субъекта персональных данных). Однако с другой стороны медицинская организация обязана соблюдать архивные сроки хранения медицинской документации, несмотря на отзыв пациентом согласия на обработку его ПДн.

Законодатель не устанавливает форму отзыва согласия на обработку ПДн, однако данный документ может содержать фамилию, имя, адрес пациента, наименование медицинской организации, условия при которых субъект давал согласие на обработку ПДн и т.д.

Персональные данные пациента и врачебная тайна

Стоит отметить что, институт персональных данных включает в себя более широкий объем сведений, чем институт врачебной тайны. В отличие от института врачебной тайны, который имеет узконаправленное применение, институт персональных данных универсален и регулирует отношения во множестве сфер. Так, персональные данные пациентов медицинской организации содержатся не только в договорных документах (договор об оказании медицинских услуг, акты и т.д.), но и в медицинской документации пациента (медицинская справка, результаты анализов, врачебно-консультативное заключение, протоколы заседания ВКК, журнал отказов в госпитализации (форма 001/у) и пр.). Согласно статье 13 Федерального закона “Об основах охраны здоровья граждан в Российской Федерации” от 21.11.2011 № 323-ФЗ (далее – № 323) врачебную тайну составляют сведения о факте обращения гражданина для оказания медицинской помощи, состоянии его здоровья и диагнозе, и иные сведения, полученные при его медицинском обследовании и лечении. ПДн будет относится только информация о состоянии здоровья пациента. Иная информация, составляющая ПДн, не будет являться врачебной тайной.

Обеспечение защиты сведений, содержащих персональные данные, в медицинской организации

В соответствии с пунктом 4 статьи 92 ФЗ № 323 сведения о лицах, которым оказываются медицинские услуги, относятся к информации ограниченного доступа и подлежат защите в соответствии с законодательством Российской Федерации. Помимо этого, законодатель относит сведения касающиеся состояния здоровья пациентов к специальной категории персональных данных. Исходя из вышеизложенного, следует, что медицинская организация должна обеспечить режим конфиденциальности, т.е. не должна распространять и раскрывать третьим лицам персональные данные, без согласия пациента, или иного законного основания. Данное требование, обязательно для соблюдения должностными лицами медицинских организаций или лицами, получившими доступ к таким данным. Оно распространяется на информацию, о персональных данных, содержащуюся на бумажных и электронных носителях, в информационно-телекоммуникационных сетях и иных информационных системах медицинской организации.

Примером законного основания раскрытия ПДн без согласия пациента, может выступать положение пункта 3 части 4 статьи 13 ФЗ № 323, в котором установлено, что предоставление сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя, допускается по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органов прокуратуры в связи с осуществлением ими прокурорского надзора, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля за поведением условно осужденного, осужденного, в отношении которого отбывание наказания отсрочено, и лица, освобожденного условно-досрочно.

Помимо оснований раскрытия информации без согласия пациента в части врачебной тайны, существуют еще ряд самостоятельных оснований, предусмотренных ФЗ № 152 в части ПДн. Законодательство Российской Федерации стоит строго на защите персональных данных пациентов и практика последних лет наглядно демонстрирует это.

Ответственность за нарушение норм, регламентирующих обработку и защиту персональных данных

Статьей 24 Федерального закона “О персональных данных” установлено, что лица, виновные в нарушении требований законодательства, применяемым к обработке персональных данных, несут уголовную, административную, дисциплинарную и иную предусмотренную законодательством Российской Федерации ответственность.

Административная ответственность за невыполнение требований законодательства в области обработки персональных данных предусмотрена статьями:

  • статьей 13.11 Кодекса Российской Федерации об административных правонарушениях, устанавливающей ответственность за нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных);
  • статьей 13.14 Кодекса Российской Федерации об административных правонарушениях, устанавливающей ответственность за разглашение информации, доступ к которой ограничен федеральным законом (за исключением случаев, если разглашение такой информации влечет уголовную ответственность), лицом, получившим доступ к такой информации в связи с исполнением служебных или профессиональных обязанностей.

Уголовная ответственность за незаконный сбор или распространение сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или средствах массовой информации предусмотрена статьей 137 Уголовного кодекса Российской Федерации.

Защита прав субъектов персональных данных

В соответствии с частью 1 статьи 23 Федерального закона “О персональных данных”, Положением о Федеральной службе по надзору в сфере связи, информационных технологий и массовых коммуникаций, утвержденным постановлением Правительства РФ от 16.03.2009 № 228, уполномоченным органом по защите прав субъектов персональных данных, на который возлагается обеспечение контроля и надзора за соответствием обработки персональных данных требованиям законодательства Российской Федерации, является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) в задачи которой входит, рассмотрение жалоб и обращений граждан по вопросам, связанным с обработкой персональных данных.

Также контролем занимается и ФСТЭК (федеральная служба по техническому и экспортному контролю).

Кроме того, пациенты вправе обращаться в прокуратуру, если, по их мнению, медицинская организация осуществляет обработку персональных данных с нарушением требований действующего законодательства.

Наряду с личным предоставлением обращений, направлением заказным письмом и использованием факсимильной связи, предусмотрен порядок направления обращений посредством информационно-телекоммуникационной сети Интернет.

Также рекомендуем Вам ознакомиться с иными статьями: “Врачебная тайна: понятие, нормативное регулирование и сфера применения” и “Разглашение врачебной тайны родственникам умершего пациента”.