Главная › Новости

Гарантия конфиденциальности персональных данных

Опубликовано: 25.12.2018

Закон 152 ФЗ о персональных данных. Изменения в законе о персональных данных. Как подготовить сайт.

Любая медицинская организация при осуществлении своей деятельности осуществляет сбор и обработку поступающих персональных данных пациентов и в силу этого, согласно Федеральному закону от 27.07.2006 № 152-ФЗ (ред. от 04.06.2014) «О персональных данных» (далее - Закон № 152-ФЗ или Закон о персональных данных) является оператором персональных данных. Ведением реестра операторов персональных данных занимается Роскомнадзор.

От Google ждут объяснений по защите данных

Согласно Закону № 152-ФЗ, персональными данными является любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных).

Оператором персональных данных согласно статье 3 Закона о персональных данных выступает государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.

Что такое Врачебная Тайна?

Таким образом, в силу Закона № 152-ФЗ к медицинским организациям как к операторам персональных данных предъявляются особые требования по обработке, учету и хранению персональных данных.

Система защиты персональных данных

Согласно ч. 4 ст. 79 Федерального закона от 21.11.2011 № 323-ФЗ (ред. от 21.07.2014) «Об основах охраны здоровья граждан в Российской Федерации» (далее «Закон № 323-ФЗ») медицинские организации обязаны соблюдать врачебную тайну, в том числе конфиденциальность персональных данных, используемых в медицинских информационных системах.

Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных. Проще говоря, это обеспечивается внедрением специальной системы защиты персональных данных. Чаще всего медицинские организации для реализации такой системы защиты вынуждены обращаться к специализированным организациям, имеющим лицензию на деятельность по технической защите конфиденциальной информации.

Согласие на обработку персональных данных

Решение о предоставлении персональных данных принимается их субъектом в виде письменного согласия на обработку ПД, которое должно включать в себя:

фамилия, имя, отчество, адрес пациента; реквизиты документа, удостоверяющего его личность; наименование и адрес оператора, получающего согласие; цель обработки персональных данных; перечень персональных данных, на обработку которых дается согласие пациента; наименование и адрес лица, осуществляющего обработку персональных данных по поручению оператора; перечень действий с персональными данными, описание способов обработки; срок, в течение которого действует согласие, способ его отзыва; подпись пациента.

Предоставление персональных данных без согласия пациента

Однако, в ряде случаев оператор персональных данных вправе производить обработку персональных данных без согласия субъекта персональных данных:

в целях защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно; в медико-профилактических целях, в целях установления медицинского диагноза , оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну; в целях осуществления положений законодательства об обязательных видах страхования, со страховым законодательством; для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности; в статистических или иных исследовательских целях при условии обязательного обезличивания персональных данных; для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, осуществления прав и законных интересов оператора или третьих лиц; осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе; в целях осуществления положений законодательства о государственной социальной помощи, трудовым законодательством, законодательством Российской Федерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях; для достижения законных целей общественных объединений и религиозных организаций; для достижения целей, предусмотренных международным договором Российской Федерации, осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению, исполнения полномочий органов исполнительной власти; обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан; в иных целях.

Персональные данные пациентов

Некоторые из перечисленных выше случаев могут быть отнесены к сфере здравоохранения, что вроде бы дает возможность медицинской организации не брать с пациентов согласия на обработку их персональных данных. Однако, при более детальном рассмотрении казалось бы «пригодных к использованию» оснований их смысл оказывается весьма специфичен и неоднозначен. Например, коснувшись первого из перечисленных оснований («в целях защиты жизни, здоровья……») становится ясным, что это относится только к случаям оказания экстренной медицинской помощи , что ясное дело может являться превалирующим случаем. Второе из перечисленных оснований («в медико-профилактических целях, в целях установления медицинского диагноза……..») также оказывается годным далеко не на «каждый день» - в нем речь идет только о медицинских работниках, которые в силу своей профессии обязаны сохранять врачебную тайну. Остальные же работники медицинской организации могут обрабатывать персональные данные пациента по общему основанию, то есть только с его письменного согласия. Самым ярким примером таких работников являются администраторы, юристы клиники и иные должностные лица, к которым в частности относится и главный врач. Другие основания также имеют некоторые изъяны, которые следует корректно оценивать.

Более того стоит не забывать, что сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность (биометрические персональные данные) и которые используются оператором для установления личности субъекта персональных данных, могут обрабатываться только при наличии согласия в письменной форме субъекта персональных данных. Стоит отметить, что в некоторых отраслях медицины используются и соответственно обрабатываются биометрические персональные данные, к коим можно в частности отнести рентгеновские снимки.

Таким образом, медицинским организациям не стоит спешить, отказываясь организовывать дачу пациентами письменных согласий на обработку их персданных, которые даже многим юристам кажутся необязательными. Стоит крепко задуматься и взвесить все «за» и «против» по данному вопросу. Риск нарушения законодательства о персональных данных зачастую весьма велик, а последствия серьезны, вплоть до привлечения виновных лиц к уголовной ответственности (ст. 137 УК РФ).

Предоставление персональных сведений, составляющих врачебную тайну, без согласия пациента

Также согласно ст. 13 Закона № 323-ФЗ предоставление персональных сведений, составляющих врачебную тайну, без согласия пациента или его законного представителя допускается:

в целях проведения медицинского обследования и лечения гражданина, который в результате своего состояния не способен выразить свою волю; при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений; по запросу органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, по запросу органов прокуратуры в связи с осуществлением ими прокурорского надзора, по запросу органа уголовно-исполнительной системы в связи с исполнением уголовного наказания и осуществлением контроля за поведением условно осужденного, осужденного, в отношении которого отбывание наказания отсрочено, и лица, освобожденного условно-досрочно; в случае оказания медицинской помощи несовершеннолетнему, больному наркоманией при оказании ему наркологической помощи или при медицинском освидетельствовании несовершеннолетнего в целях установления состояния наркотического либо иного токсического опьянения, а также несовершеннолетнему, не достигшему 15 – летнего возраста для информирования одного из его родителей или иного законного представителя; в целях информирования органов внутренних дел о поступлении пациента, в отношении которого имеются достаточные основания полагать, что вред его здоровью причинен в результате противоправных действий; в целях проведения военно-врачебной экспертизы по запросам военных комиссариатов, кадровых служб и военно-врачебных (врачебно-летных) комиссий федеральных органов исполнительной власти; в целях расследования несчастного случая на производстве и профессионального заболевания, а также несчастного случая с обучающимся во время пребывания в организации, осуществляющей образовательную деятельность; при обмене информацией медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи; в целях осуществления учета и контроля в системе обязательного социального страхования; в целях осуществления контроля качества и безопасности медицинской деятельности;

Также советуем Вам ознакомиться со статьями « Право пациента на защиту персональных данных » и « Право пациента на врачебную тайну ». По вопросу проверок Роскомнадзора и иных органов надзора на предмет соблюдения обязательных требований законодательства РФ в области персональных данных рекомендуем прочитать статью «Роскомнадзор» и «Надзор в сфере защиты информации».