Согласие на обработку персональных данных в медицине

Содержание

Обработка персональных данных в медицинских организациях

Одной из наиболее актуальных проблем, которые сегодня приходится решать в медицинском учреждении при использовании компьютеров, является защита конфиденциальной информации. В связи с этим представляется целесообразным продолжить рассмотрение основных аспектов организации автоматизированной обработки персональных данных (ПД) пациентов, которое было начато в статье профессора А. Щербакова.

Основными правовыми нормативными актами, регламентирующими требования к процессам обработки ПД, в том числе в учреждениях здравоохранения, являются:

Конституция Российской Федерации, принятая 12.12.1993; ст. 23, 24 (неприкосновенность частной жизни, личная и семейная тайна), ст. 41, 42 (недопустимость сокрытия информации, связанной с угрозой жизни и здоровью);

“Основы законодательства Российской Федерации об охране здоровья граждан”, … закон РФ № 5487-1 от 22.07.1993 (далее — Основы); в ст. 61 дано определение врачебной тайны как “информации о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иных сведений, полученных при его обследовании и лечении”;

федеральный закон “Об информации, информационных технологиях и защите информации” № 149-ФЗ от 27.07.2006, в котором даны определения таких понятий, как информация, документирование информации, защита информации, обладатель информации, конфиденциальность информации, предоставление и распространение информации, электронное сообщение;

  • федеральный закон “О персональных данных” № 152-ФЗ от 27.07.2006 (далее — Закон), которым регулируются отношения, связанные с обработкой персональных данных с использованием средств автоматизации;
  • указ Президента РФ “Об утверждении перечня сведений конфиденциального характера” № 188 от 06.03.1997 (в редакции указа Президента РФ от 23.09.2005 № 1111) в котором к указанной категории сведений отнесены персональные данные и сведения, содержащие врачебную тайну;
  • указ Президента РФ № 351 от 17.03.2008 “О мерах по обеспечению информационной безопасности Российской Федерации при использовании информационно-телекоммуникационных сетей международного информационного обмена”;
  • постановление Правительства РФ № 504 от 15.08.2006 “О лицензировании деятельности по технической защите информации”;
  • постановление Правительства РФ № 957 от 29.12.2007 “Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами”;
  • постановление Правительства РФ № 781 от 17.11.2007 “Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных” (далее — Положение), в котором определены основные требования к указанным информационным системам (ИС);
  • постановление Правительства РФ № 512 от 06.07.2008 “Об утверждении требований к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных”;
  • постановление Правительства РФ № 687 от 15.09.2008 “Об утверждении положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации”;
  • совместный приказ ФСТЭК России, ФСБ России, Мининформсвязи России № 55/86/20 от 13.02.2008 “Об утверждении Порядка проведения классификации информационных систем персональных данных”.

Напомним, что к персональным данным относятся: а) сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (см. Указ Президента РФ № 188 от 06.03.1997); б) любая информация, относящаяся к определённому или определяемому на основании такой информации физическому лицу (субъекту персональных данных; ст. 3 Закона). Конфиденциальной считается документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации и которая не подлежит передаче третьим лицам без согласия её обладателя. Обладателем информации, содержащей врачебную тайну, является пациент (субъект ПД) или его законный представитель — должно быть получено согласие пациента на передачу касающихся его сведений, содержащих врачебную тайну, кому-либо, в том числе должностным лицам в интересах его обследования и лечения (ст. 61 Основ). Под обработкой ПД понимаются любые действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение (ст. 3 Закона). Любое юридическое или физическое лицо, организующее и/или осуществляющее обработку ПД, а также определяющее цели и содержание их обработки, является оператором ПД (ст. 3 Закона).

В общем случае оператор ПД — учреждение здравоохранения, фонд обязательного медицинского страхования (ОМС), страховая медицинская организация — должен:

  1. зарегистрироваться в качестве оператора ПД — подготовить и направить уведомление в территориальный орган Федеральной службы по надзору в сфере связи и массовых коммуникаций (Россвязькомнадзор), которая постановлением Правительства РФ № 419 от 02.06.2008 определена в качестве уполномоченного органа по защите прав субъектов персональных данных (ст. 22, 23 Закона);
  2. получить письменные согласия пациентов (субъектов ПД) на обработку, в том числе передачу их персональных данных (ст. 6, 9 и 10 Закона); необходимость согласия пациента на передачу кому-либо сведений о нём, содержащих врачебную тайну, предусмотрена также ст. 61 Основ (см. выше); далее понятия “пациент”, “физическое лицо” и “субъект ПД” будем считать синонимами;
  3. обеспечить информирование пациентов по их запросам о целях, способах и сроках обработки, хранения их ПД, а также о лицах, имеющих к ним доступ (часть 4 ст. 14 Закона); для этого в информационной системе учреждения должны быть реализованы функции разграничения полномочий, аутентификации, регистрации (учёта) и контроля доступа пользователей к ПД, автоматического ведения журналов доступа (п. 15 Положения);
  4. для определения необходимых мер и выбора средств защиты ПД провести классификацию своей ИС в зависимости от характера (состава) и объема обрабатываемых ПД и угроз безопасности жизненно важным интересам личности в случае нарушения их конфиденциальности (утечки) и оформить соответствующий документ (п. 6 Положения); следует заметить, что все ИС ПД, в которых обрабатываются сведения о состоянии здоровья, в соответствии с требованиями приказа ФСТЭК, ФСБ и Миниформсвязи России № 55 / 86 / 20 от 13.02.2008 являются системами 1-го класса (К1, см. далее);
  5. организовать и поддерживать систему защиты конфиденциальной информации от несанкционированного доступа в соответствии с установленным классом ИС с использованием средств защиты, сертифицированных в установленном порядке; для подтверждения соответствия ИС требованиям защиты конфиденциальной информации и ПД необходимо провести аттестацию системы (см. ниже).

Регистрация в качестве оператора персональных данных. Порядок регистрации определён приказом Россвязькомнадзора № 8 от 17.07.2008 “Об утверждении образца формы уведомления об обработке персональных данных” (с изменениями, внесенными приказом № 42 от 18.02.2009) . Дадим ряд рекомендаций по заполнению некоторых позиций уведомления применительно к медицинским организациям.

1. В позиции формы уведомления “Цель обработки” следует указать: “в медико-профилактических целях”, либо “в целях установления медицинского диагноза”, либо “в целях оказания медицинских и медико-социальных услуг” (пп. 3, 4 части 2 ст. 10 Закона), — а также перечислить цели деятельности организации так, как это указано в учредительных документах (положении, уставе).

2. В позиции “Категории персональных данных” — а) для пациентов: Ф.И.О., пол, дата рождения, адрес места жительства, реквизиты документа, удостоверяющего личность, реквизиты полиса медицинского страхования, сведения о наличии льгот, СНИЛС (страховой номер индивидуального лицевого счета гражданина в системе персонифицированного учета Пенсионного фонда России) , сведения о случаях обращения за медицинской помощью, данные о состоянии здоровья; б) для работников организации (учреждения): Ф.И.О., пол, дата и место рождения, адрес места жительства, реквизиты документа, удостоверяющего личность, реквизиты полиса медицинского страхования, СНИЛС, ИНН, сведения о наличии льгот, данные кадрового учёта (образование, квалификация, должность и т. д.), сведения о заработной плате.

3. В позиции “Категории субъектов персональных данных” надо указать: “работники учреждения”, для пациентов — гражданство (“гражданин РФ”, “иностранный гражданин”, “лицо без гражданства”).

4. В позиции “Правовое основание обработки …” указать информацию в соответствии с пунктами 3, 4 части 2 статьи 10 Закона , ссылки на нормативные документы территориального органа управления здравоохранением и фонда ОМС, реквизиты лицензии на медицинскую деятельность. Следует заметить, что в Основах отсутствуют в явном виде какие-либо нормы и требования, связанные с ведением медицинской документации и обработкой ПД пациента как без использования, так и с использованием средств автоматизации (компьютеров). Поэтому ссылки на этот закон в данном случае не приведены. Надо также указать, что обработка ПД работников учреждения осуществляется на основании ст. 85—90 Трудового кодекса РФ.

5. В позиции “Перечень действий с персональными данными…” указать: “Смешанная обработка — ввод, сбор, систематизация, накопление, хранение, изменение, удаление, использование, передача по внутренней сети”. Если в медицинском учреждении формируются массивы персонифицированных данных для передачи во внешние организации (страховые медицинские организации, фонд ОМС, медицинский информационно-аналитический центр (МИАЦ) и т. п.), то необходимо указать, каким образом они передаются — на машинных носителях, по защищенным каналам связи и т. п. В этом случае в позиции “Правовое основание обработки…” в дополнение к перечисленным выше документам следует также привести реквизиты нормативных распорядительных документов (приказов и т. п.), на основании которых эти данные передаются.

Надо обратить внимание, что согласно приказу Россвязькомнадзора № 42 от 18.02.2009 оператор в уведомлении должен указать класс информационной системы, обрабатывающей ПД, который присвоен ей в соответствии с требованиями приказа ФСТЭК России, ФСБ России, Мининформсвязи России № 55/86/20 от 13.02.2008.

Напомним, что в случае изменения сведений, указанных в уведомлении, оператор обязан в течение десяти рабочих дней сообщить об этом в уполномоченный орган по защите прав субъектов ПД (часть 6 ст. 22 Закона).

Реестр операторов. Органы Россвязькомнадзора на основании уведомлений формируют и ведут единый реестр операторов ПД, осуществляющих обработку персональных данных. Расходы на рассмотрение уведомлений и ведение реестра осуществляются за счёт средств федерального бюджета. Порядок ведения реестра утвержден приказом Россвязьохранкультуры № 154 от 28.03.2008 “Об утверждении Положения о ведении реестра операторов, осуществляющих обработку персональных данных”, в котором определены процедуры включения и исключения операторов в(из) реестр(а). Решение о включении оператора в реестр или об отказе принимается в течение тридцати дней с даты поступления уведомления. Орган по защите прав субъектов ПД вправе проверять указанные в уведомлении сведения на полноту и достоверность, а также запрашивать и получать на безвозмездной основе как у физических, так и у юридических лиц информацию, необходимую для осуществления своих полномочий. При включении в реестр каждому оператору присваивается регистрационный номер. Исключение оператора из реестра осуществляется в следующих случаях:

  • по письменному заявлению оператора об исключении из реестра с приложением обоснований;
  • по решению суда о прекращении оператором деятельности по обработке персональных данных;
  • в связи с принятием уполномоченным органом по защите прав субъектов ПД решения по приостановлению или прекращению оператором обработки ПД, осуществляемой с нарушением требований Закона.

Информация о включении или исключении оператора в(из) реестр(а) публикуется в трехдневный срок на официальном сайте уполномоченного органа по защите прав субъектов ПД (www.rsoc.ru). Сведения об операторах, включенных в реестр, являются общедоступными за исключением данных о мерах по защите информации. Доступ к реестру осуществляется через интернет-портал по адресу pd.rsoc.ru.

Добровольное письменное согласие пациента на обработку его персональных данных. К сожалению, в настоящее время процедуры и формы документального подтверждения согласия пациента на обработку и передачу его персональных данных, а также порядок его информирования о целях и способах обработки, о лицах, имеющих к ним доступ, на федеральном и ведомственном уровне пока еще не определены и не регламентированы. Поэтому дадим некоторые пояснения и рекомендации.

Образец согласия пациента, подготовленный в соответствии с требованиями статьи 9 Закона, применительно к медицинскому учреждению, работающему в системе ОМС, представлен во врезке (аналогичное согласие для ребёнка в возрасте до 15 лет дается его родителем или опекуном). В учреждении необходимо наладить учёт и хранение этих документов, предъявляемых в качестве доказательства легитимности обработки ПД пациентов (часть 3 ст. 9 Закона). В амбулаторных учреждениях письменное согласие целесообразно оформлять при первом обращении пациента и оформлении амбулаторной карты, в стационарах — при каждом случае госпитализации в виде вкладыша в историю болезни. Напомним, что в соответствии со ст. 61 Основ предоставление (то есть передача строго определённому кругу лиц) персонифицированных сведений о состоянии здоровья пациента без его согласия допускается в следующих случаях:

  • в целях его обследования и лечения, если он не способен из-за своего состояния выразить собственную волю;
  • при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;
  • по запросу органов дознания, следствия и суда;
  • при оказании помощи несовершеннолетнему в возрасте до 15 лет для информирования его родителей или законных представителей;
  • если есть основания полагать, что вред здоровью причинен в результате противоправных действий;
  • в целях проведения военно-врачебной экспертизы.

Стоит обратить внимание, что в соответствии с постановлением Правительства РФ № 687 от 15.09.2008 персональные данные, обрабатываемые на бумажных носителях, должны обособляться от иной информации — путём их представления на отдельных листах, в специальных разделах или в полях форм (бланков) документов (п. 4 этого постановления). Кроме того, в типовых формах документов должно быть предусмотрено поле, в котором субъект ПД может поставить отметку о своем согласии на обработку его ПД (подпункт “б” пункта 7). Из этого, в частности, следует, что подавляющее большинство персонифицированных форм учётно-отчётных документов, которые сейчас используются в здравоохранении, подлежит переработке.

Еще одно замечание, не имеющее прямого отношения к теме этой статьи, касается согласия медицинского работника на передачу его персональных данных. В соответствии со статьей 88 Трудового кодекса РФ медицинское учреждение при передаче ПД сотрудника, например, в органы Росздравнадзора для ведения федерального регистра медицинских работников (см. приказ Минздравсоцразвития России № 14н от 17.01.2008) обязано получить его письменное на то согласие. Целесообразно включить это согласие в трудовой договор с работником. На сайте www.54.rsoc.ru опубликованы образцы некоторых документов, необходимых для организации работы с персональными данными в учреждении, в частности положение о защите ПД работников, обязательство работника о неразглашении конфиденциальной информации (ПД) и др.

Обработка персональных данных в медицинских учреждениях должна осуществляться с соблюдением необходимых мер, обеспечивающих конфиденциальность информации и её защиту от несанкционированного доступа.

Организация защиты конфиденциальной информации. Напомним, что защита информации — это целый комплекс организационно-технических мероприятий, направленных на предотвращение несанкционированного доступа к данным и документам, их потери и искажения. Организация и поддержание системы информационной безопасности (ИБ) требуют значительных ресурсов. Например, в финансово-кредитных организациях расходы на защиту информации составляют около 20% от совокупных расходов на ИТ.

Работы по организации системы ИБ, включая защиту ПД, должны быть неотъемлемой частью проекта по созданию или модернизации ИС (п. 4 Положения), и их следует выделить в отдельный этап или контракт. В общем случае они включают три фазы:

  1. предпроектную фазу — обследование и определение класса ИС, предварительное определение способов и состава средств защиты информации (СЗИ);
  2. проектную фазу — разработку технического задания на создание комплексной системы защиты информации, в том числе построение модели угроз безопасности конфиденциальной информации, техническое и рабочее проектирование системы;
  3. ввод в эксплуатацию — закупку сертифицированных СЗИ, их инсталляцию, обучение персонала, издание организационно-распорядительных документов о допуске персонала и регламентах обработки конфиденциальной информации, назначение ответственных, организацию контроля, аудита и т. п., а также аттестацию системы на соответствие требованиям безопасности обработки конфиденциальной информации.

Классификация ИС, в которых обрабатываются персональные данные, должна отвечать требованиям документа “Порядок проведения классификации информационных систем персональных данных”, утвержденного совместным приказом ФСТЭК, ФСБ и Мининформсвязи России № 55/86/20от 13.02.2008. В этом документе (далее — Порядок) указано, что:

  • классификация проводится на основе таких критериев, как категория обрабатываемых данных (сведения о состоянии здоровья относятся к наивысшей, первой категории — см. п. 6 Порядка), их объём, характеристики безопасности, структура ИС, наличие подключения к Интернету, режим обработки ПД, режим разграничения прав доступа, местонахождение технических средств;
  • присвоение класса ИС осуществляется самим оператором ПД (медицинским учреждением), класс должен быть оформлен документально; заметим, что в соответствии с п. 8 Порядка медицинские ИС относятся к специальным системам, поскольку в них обрабатываются данные о состоянии здоровья пациентов. Как указано в п. 16 Порядка, класс специальных ИС определяется на основе анализа данных и модели угроз безопасности ПД в соответствии с методическими документами ФСТЭК и ФСБ. К таким документам сегодня относятся следующие.
  1. “Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных” (утвержден ФСТЭК 14.02.2008, имеет гриф “Для служебного пользования” — ДСП; документы с грифом ДСП могут быть получены в органах ФСТЭК по официальному запросу).
  2. “Базовая модель угроз безопасности персональных данных при их обработке в информационных системах персональных данных” (утверждён ФСТЭК 15.02.2008, ДСП).
  3. “Основные мероприятия по организации и техническому обеспечению безопасности персональных данных, обрабатываемых в информационных системах персональных данных” (утверждён ФСТЭК 15.02.2008, ДСП).
  4. “Рекомендации по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных” (утверждён ФСТЭК 15.02.2008, ДСП).
  5. “Специальные требования и рекомендации по технической защите конфиденциальной информации” (утвержден Гостехкомиссией России 30.08.2002).
  6. “Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации” (утверждён Гостехкомиссией России 30.03.1992).
  7. “Типовые требования по организации и обеспечению функционирования шифровальных (криптографических) средств, предназначенных для защиты информации, не содержащей сведений, составляющих государственную тайну, в случае их использования для обеспечения безопасности персональных данных при их обработке в информационных системах персональных данных” (утверждён руководством 8 Центра ФСБ России 21.02.2008, № 149/6/6-622).
  8. “Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации” (утверждён руководством 8 Центра ФСБ России 21.02.2008, № 149/54-144).

В соответствии с перечисленными документами ИС организаций здравоохранения, в которых обрабатываются персональные данные о состоянии здоровья пациентов, необходимо отнести к следующим классам:

  • класс 1Г (максимальный гриф обрабатываемой информации — “конфиденциально”) — согласно руководящему документу, указанному в приведенном выше перечне под номером 6;
  • класс К1 (все ИС, в которых обрабатывается информация первой категорииотносятся к 1-му классу (К1) — согласно документу под номером 4 в перечне; как уже отмечал в своей статье А. Щербаков, для защиты ПД в системах этого класса должны использоваться криптографические средства.

В соответствии с перечисленными выше документами организации, эксплуатирующие информационные системы классов 1Г и К1, обязаны:

а) получить лицензию ФСТЭК на техническую защиту информации (срок действия — пять лет);

б) выполнить все необходимые мероприятия по обеспечению защиты информации для указанных классов информационных систем;

в) провести аттестационные испытания ИС по требованиям ФСТЭК.

Кроме того, при использовании в учреждении средств криптографической защиты информации может потребоваться получение лицензии ФСБ (см. указ. статью). Заметим, что во всех случаях установка в ИС ПД сертифицированных средств криптографической защиты информации должна осуществляться организацией, имеющей соответствующую лицензию ФСБ.

Аттестация ИС проводится с привлечением внешней организации-аудитора, имеющей соответствующий аттестат аккредитации ФСТЭК. Если проверка показала, что система защиты ПД данной ИС соответствует установленным требованиям, то выдается аттестат соответствия (сроком на три года). С порядком получения лицензии на техническую защиту информации, проведения аттестации ИС и перечнем организаций, уполномоченных проводить аттестационные испытания, можно ознакомится на сайте ФСТЭК (www.fstec.ru).

При организации рабочих процессов в учреждении необходимо стремиться к максимально возможному сокращению перечня сотрудников, имеющих доступ к ПД пациентов. Руководитель учреждения должен утвердить перечень должностных лиц, допущенных к обработке персональных данных в информационной системе. Порядок их доступа к конфиденциальным сведениям и ПД, хранящимся в базах данных ИС, должен определяться соответствующими регламентами и должностными инструкциями.

В заключение хотелось бы отметить, что описанные выше положения и рекомендации далеко не исчерпывают всех аспектов проблемы организации обработки персональных данных в здравоохранении. Не рассмотрены, например, вопросы, связанные с процедурой получения согласия пациента на обработку ПД теми операторами, к которым он непосредственно не обращается за медицинской помощью. К ним, в частности, относятся учреждения, которые формируют и ведут различного рода сводные медицинские персонифицированные (территориально-популяционные) регистры, — МИАЦ, территориальные фонды ОМС и др. Более обстоятельного рассмотрения требуют также вопросы ИТ-аутсорсинга при обработке и организации защиты конфиденциальной информации, получения медицинским учреждением необходимых лицензий и др. Очевидно, что организацией системы информационной безопасности должны заниматься компетентные специалисты, имеющие специальную профессиональную подготовку. Приказом Минздравсоцразвития России № 247н от 29.05.2008 в перечень профессиональных квалификационных групп включены должности специалистов (техники, инженеры и т. д.) по защите информации. К сожалению, в настоящее время в штатных расписаниях учреждений здравоохранения сотрудники по информационной безопасности за очень редкими исключениями не предусмотрены. Так же как и в бюджетах большинства медицинских учреждений не предусмотрены расходы на организацию системы защиты информации. А между тем до 1 января 2010 г. — срока, к которому по закону “О персональных данных” все информационные системы должны быть приведены в соответствие с его требованиями, осталось очень мало времени. Необходимы срочные безотлагательные меры, в том числе и со стороны Минздравсоцразвития России.2

Образец письменного согласия пациента на обработку его персональных данных

СОГЛАСИЕ

на обработку персональных данных

Я, нижеподписавшийся <Ф.И.О. полностью>, проживающий по адресу <по месту регистрации>, паспорт <серия и номер>, выдан <дата и название выдавшего органа>, в соответствии с требованиями статьи 9 федерального закона от 27.07.06 г. “О персональных данных” № 152-ФЗ, подтверждаю свое согласие на обработку <название и адрес медицинского учреждения> (далее — Оператор) моих персональных данных, включающих: фамилию, имя, отчество, пол, дату рождения, адрес места жительства, контактный(е) телефон(ы), реквизиты полиса ОМС (ДМС), страховой номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС), данные о состоянии моего здоровья, заболеваниях, случаях обращения за медицинской помощью — в медико-профилактических целях, в целях установления медицинского диагноза и оказания медицинских услуг при условии, что их обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну. В процессе оказания Оператором мне медицинской помощи я предоставляю право медицинским работникам передавать мои персональные данные, содержащие сведения, составляющие врачебную тайну, другим должностным лицам Оператора, в интересах моего обследования и лечения.

Предоставляю Оператору право осуществлять все действия (операции) с моими персональными данными, включая сбор, систематизацию, накопление, хранение, обновление, изменение, использование, обезличивание, блокирование, уничтожение. Оператор вправе обрабатывать мои персональные данные посредством внесения их в электронную базу данных, включения в списки (реестры) и отчетные формы, предусмотренные документами, регламентирующими предоставление отчетных данных (документов) по ОМС (договором ДМС).

Оператор имеет право во исполнение своих обязательств по работе в системе ОМС (по договору ДМС) на обмен (прием и передачу) моими персональными данными со страховой медицинской организацией <название> и территориальным фондом ОМС с использованием машинных носителей или по каналам связи с соблюдением мер, обеспечивающих их защиту от несанкционированного доступа, при условии, что их прием и обработка будут осуществляется лицом, обязанным сохранять профессиональную тайну.

Срок хранения моих персональных данных соответствует сроку хранения первичных медицинских документов (медицинской карты) и составляет <двадцать пять лет>.

Передача моих персональных данных иным лицам или иное их разглашение может осуществляться только с моего письменного согласия.

Настоящее согласие дано мной <дата> и действует бессрочно.

Я оставляю за собой право отозвать свое согласие посредством составления соответствующего письменного документа, который может быть направлен мной в адрес Оператора по почте заказным письмом с уведомлением о вручении либо вручен лично под расписку представителю Оператора.

В случае получения моего письменного заявления об отзыве настоящего согласия на обработку персональных данных Оператор обязан прекратить их обработку в течение периода времени, необходимого для завершения взаиморасчетов по оплате оказанной мне до этого медицинской помощи.

Контактный(е) телефон(ы) <…> и почтовый адрес <…>

Подпись субъекта персональных данных __________

Об авторе: Андрей Павлович Столбов — докт. техн. наук, заместитель директора Медицинского информационно-аналитического центра РАМН, профессор кафедры организации здравоохранения с курсом медицинской статистики и информатики факультета управления здравоохранением Московской медицинской академии им. И. М. Сеченова (stolbov@mcramn.ru).

1 Ранее, до изменения структуры федеральных органов исполнительной власти, уполномоченным органом по защите прав субъектов ПД являлась Россвязьохранкультуры. При этом форма уведомления в течение года трижды изменялась её приказами от 11.01.08 г. № 3, от 28.03.08 г. № 153 и от 13.05.08 г. № 340.

2 В перечне поручений Президента РФ по итогам заседания президиума Госсовета РФ 17.07.08 г. (утвержден 01.08.08 г. № Пр-1572ГС) правительству дано поручение в срок до 1 декабря 2008 г. «утвердить комплекс мер по созданию государственной информационной системы персонифицированного учета оказания медицинской помощи, предусмотрев разработку необходимых нормативных правовых актов, а также подключение государственных и муниципальных медицинских учреждений к сети Интернет» (п. 1 «з»).

Пациент не дает согласие на обработку персональных данных при обращении за медицинской помощью в плановом порядке (не экстренном).
1) На основании какой нормы закона поликлиника имеет право требовать согласие на обработку персональных данных?
2) На основании какой нормы закона следует отказать в предоставлении стоматологических услуг в связи с отказом предоставления согласия на обработку персональных данных?
3) На основании какой нормы закона пациент обязан дать согласие на обработку персональных данных?
4) Какую помощь следует оказать пациенту, если он не дает согласие на обработку персональных данных по ОМС при наличии страхового полиса?

3 июня 2019

Рассмотрев вопрос, мы пришли к следующему выводу:
Пациент не обязан давать согласие на обработку персональных данных, а поликлиника не вправе требовать от него такого согласия. Поликлиника не вправе отказать в предоставлении стоматологических услуг в рассматриваемой ситуации и должна оказать пациенту всю необходимую медицинскую помощь в рамках территориальной программы ОМС.

Обоснование вывода:
Согласно ч. 1 ст. 9 Федерального закона от 27 июля 2006 г. N 152-ФЗ «О персональных данных» субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Нет ни одной нормы федерального законодательства, которая бы принуждала физическое лицо давать согласие на обработку персональных данных. Поэтому пациент не обязан давать согласие на обработку персональных данных, а поликлиника не вправе требовать от него такого согласия.
Закрепив за субъектом персональных данных право давать согласие на обработку персональных данных, законодатель, тем не менее, предусмотрел ряд случаев, в которых такое согласие не требуется. Так, в соответствии с ч. 1 ст. 6 Закона N 152-ФЗ обработка персональных данных допускается либо с согласия субъекта персональных данных на обработку его персональных данных либо в исчерпывающем перечне случаев, предусмотренных п.п. 2-11 ч. 1 ст. 6 Закона N 152-ФЗ. В частности, к таким случаям относится обработка персональных данных, необходимая для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей (п. 2 ч. 1 ст. 6 Закона N 152-ФЗ), а также обработка персональных данных, необходимая для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ).
Согласно ч. 5 ст. 15 Федерального закона от 29 ноября 2010 г. N 326-ФЗ «Об обязательном медицинском страховании в Российской Федерации» медицинская организация осуществляет свою деятельность в сфере обязательного медицинского страхования на основании договора на оказание и оплату медицинской помощи по обязательному медицинскому страхованию и не вправе отказать застрахованным лицам в оказании медицинской помощи в соответствии с территориальной программой обязательного медицинского страхования. Поскольку таким образом на поликлинику законом возложена обязанность оказывать медицинскую помощь в рамках ОМС, а пациент является выгодоприобретателем по договору на оказание и оплату медицинской помощи по ОМС, постольку возможна обработка его персональных данных в целях исполнения этого договора*(1) и без его согласия.
Действующее законодательство не предоставляет медицинской организации право отказать в предоставлении медицинской помощи либо уменьшить объем ее оказания в связи с несогласием пациента на обработку персональных данных. Поэтому поликлиника не вправе отказать в предоставлении стоматологических услуг в рассматриваемой ситуации и должна оказать пациенту всю необходимую медицинскую помощь в рамках территориальной программы ОМС.

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Прибыткова Мария

Ответ прошел контроль качества

15 мая 2019 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.

Согласие на обработку персональных данных пациента

Пациент, используя сервис «Личный кабинет пациента», дает свое согласие на обработку персональных данных
в соответствии с требованиями ст.ст.23,24 Конституции РФ, статьи 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», статьи 13 Федерального закона от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» Пациент дает свое согласиена обработку ФГБУ «НМИЦ эндокринологии» Минздрава России, расположенному по адресу: Москва, ул. Дмитрия Ульянова, д. 11; ул. Москворечье, д. 1 (далее – Оператор), персональных данных Пациента, включающих: фамилию, имя, отчество, пол, дату рождения, адрес места жительства, контактные телефоны, реквизиты паспорта (документа, удостоверяющего личность), реквизиты полиса ОМС (ДМС), страховой номер индивидуального лицевого счета в Пенсионном фонде России (СНИЛС), реквизиты справки МСЭ, место работы, данные о состоянии здоровья, заболеваниях, случаях обращения за медицинской помощью и другую информацию — в медико-профилактических целях, в целях установления медицинского диагноза и оказания медицинских услуг по договору, осуществление иных, связанных с этим мероприятий, а также в целях организации внутреннего учета Оператора, при условии сохранения врачебной тайны.

Предоставляю Оператору право осуществлять все действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, обновление, изменение, использование, передачу, обезличивание, блокирование, уничтожение.

Оператор вправе осуществлять следующие способы обработки персональных данных: на бумажных носителях, в информационных системах персональных данных с использованием и без использования средств автоматизации, а также смешанным способом.

В процессе оказания Оператором мне медицинских услуг Пациент предоставляю право Оператору передавать персональные данные, в том числе составляющие врачебную тайну, с соблюдением мер, обеспечивающих их защиту, в интересах обследования Пациента, лечения и учета следующим лицам:

— должностным лицам Оператора, а также лицам, обрабатывающим персональные данные с Оператором на основании заключенного с ним договора;

-страховым медицинским организациям (в рамках ОМС),контролирующим органам: ФОМС, ТФОМС, Пенсионный фонд РФ, ФНС, ФСС, Росстату, иным государственным органам.

Срок хранения персональных данных Пациента соответствует сроку хранения первичных медицинских документов (медицинской карты) и составляет двадцать пять лет.

Передача персональных данных Пациента иным лицам или иное их разглашение может осуществляться только с дополнительного письменного согласия Пациента.

Настоящее согласие вступает в силу с момента использования сервиса «Личный кабинет пациента», и действует бессрочно.

Условием прекращения обработки персональных данных является получение Оператором письменного уведомления Пациента об отзыве Согласия на обработку персональных данных Пациента.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *