Мудрый Экономист

Особенности обработки персональных данных пациента

"Учреждения здравоохранения: бухгалтерский учет и налогообложение", 2015, N 4

При оказании медицинских услуг учреждение здравоохранения неизбежно сталкивается с персональными данными пациента. Федеральный закон N 152-ФЗ <1> предъявляет немало требований к порядку обработки персональных данных, однако в случае с медицинскими организациями данные требования дополняются обязанностью сохранять врачебную тайну.

<1> Федеральный закон от 27.07.2006 N 152-ФЗ "О персональных данных".

О том, какие требования должна соблюдать медицинская организация при обработке персональных данных пациента, и пойдет речь в настоящей статье.

Что такое персональные данные пациента?

Понятие персональных данных содержится в п. 1 ст. 3 Федерального закона N 152-ФЗ. Ими признается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Заполняя медицинскую карту амбулаторного больного или заключая договор оказания медицинских услуг, медицинская организация получает персональные данные пациента и обязана соблюдать определенные требования.

В качестве примера можно привести Постановление Восьмого арбитражного апелляционного суда от 08.02.2012 N А46-12206/2011 (аналогичные выводы сделаны в Постановлении Восьмого арбитражного апелляционного суда от 01.12.2011 N А46-10810/2011), в котором сказано следующее. В медицинской карте отсутствует какая-либо информация о льготах, не указан СНИЛС, нет сведений о документе, удостоверяющем право на льготное обеспечение, нет информации об установлении либо отсутствии у пациентки инвалидности. Согласно п. 1 ч. 1 ст. 6 Федерального закона N 152-ФЗ обработка персональных данных может осуществляться оператором только с согласия субъекта персональных данных, за исключением случаев, установленных Законом.

Примечание. Неполное заполнение амбулаторной карты не признается нарушением лицензионных требований, а несообщение всех сведений пациентом не является основанием для отказа медицинской организацией в заключении договора оказания медицинских услуг.

Таким образом, отсутствие вышеуказанных сведений в карте амбулаторного больного по форме 025/у-04 не свидетельствует о том, что названная карта заполнена с нарушениями, способными оказать влияние на информативность амбулаторной карты.

Более того, сообщение таких сведений является правом, а не обязанностью пациента, следовательно, клиника не вправе была требовать представления этих сведений в принудительном порядке, как и отказать пациентке в оказании медицинской помощи и заключении договора оказания медицинских услуг.

Нормативно-правовые акты в области здравоохранения не устанавливают обязанность медицинских учреждений требовать от пациента документы, удостоверяющие личность, а также любые другие документы (в том числе документы, подтверждающие инвалидность, право на льготы), а также не предусматривают возможность отказа в оказании медицинской помощи гражданину, который отказывается или не может предъявить соответствующие документы.

Необходимо остановиться на соотношении понятий персональных данных и врачебной тайны, которой признаются сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении (ч. 1 ст. 13 Федерального закона N 323-ФЗ <2>).

<2> Федеральный закон от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации".

Исходя из законодательных определений можно сделать вывод, что понятие "персональные данные" несколько шире, чем понятие "врачебная тайна". Сведения, составляющие врачебную тайну, можно отнести к персональным данным. Это косвенно подтверждается судебной практикой. Так, в Решении ВС РФ от 01.04.2013 N АКПИ13-161 указано, что информация о регистрации гражданина по месту пребывания в больнице прямо относится к определенному физическому лицу и входит в состав персональных данных.

Таким образом, медицинская организация в процессе своей деятельности должна соблюдать требования по защите персональных данных и сохранению врачебной тайны.

Правила обработки персональных данных пациента

Согласно п. 3 ст. 3 Федерального закона N 152-ФЗ обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными с использованием средств автоматизации или без использования таковых, включая:

Примечание. По общему правилу обработка персональных данных возможна с согласия субъекта персональных данных (п. 1 ч. 1 ст. 6, п. 1 ч. 2 ст. 10 Федерального закона N 152-ФЗ).

Из достаточно объемного перечня случаев, когда возможна обработка персональных данных без получения согласия пациента, для медицинской организации имеют значение два:

В силу ч. 4 ст. 9 Федерального закона N 152-ФЗ согласие субъекта персональных данных на обработку его персональных данных, составленное в письменной форме, должно включать, в частности:

Несмотря на возможность получения согласия на обработку персональных данных в электронной форме, при заключении договора оказания медицинских услуг рекомендуется получать согласие пациента на обработку его персональных данных в письменной форме (может быть оформлено соответствующее приложение к договору), особенно с учетом того, что биометрические персональные данные (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность) могут обрабатываться только при наличии письменного согласия пациента (ч. 1 ст. 11 Федерального закона N 152-ФЗ).

Самое главное - правильно определить перечень и цель обработки персональных данных, поскольку пациент может отказаться от дачи такого согласия. Если же медицинская организация в этом случае откажет в заключении договора оказания медицинских услуг, возможно привлечение ее к административной ответственности по ч. 1 ст. 14.4 КоАП РФ (административный штраф для должностных лиц - от 3000 до 10 000 руб., для лиц, осуществляющих предпринимательскую деятельность без образования юридического лица, - от 10 000 до 20 000 руб., для юридических лиц - от 20 000 до 30 000 руб.).

В качестве примера можно привести Постановление Тринадцатого арбитражного апелляционного суда от 03.06.2014 N А56-56137/2013. В ходе проверки установлено, что гражданину было отказано в предоставлении платной медицинской услуги "флюорография грудной клетки", заключении публичного договора на оказание платных медицинских услуг в связи с отказом им подписать согласие на сбор, обработку, хранение и систематизацию персональных данных. В момент заключения договора гражданином был представлен паспорт.

Оценив бланк согласия, предложенный медицинской организацией физическому лицу (приложение к договору), суд сделал вывод, что он содержит полный перечень персональных данных, в том числе семейное и имущественное положение, образование, профессию, доходы, то есть в объеме, не соответствующем целям обработки персональных данных. Кроме того, было предложено дать согласие на обработку "другой информации, содержащейся в принадлежащих... или относящихся... документах и иных источниках...". При этом цели обработки персональных данных также не были конкретизированы. Бланк содержит сведения о передаче персональных данных третьим лицам.

Поскольку бланк согласия содержит избыточные сведения, в отношении которых физическому лицу предложено дать согласие на их обработку, отказ физического лица от дачи согласия является обоснованным.

Следовательно, медицинской организацией не обоснована невозможность исполнения договора в объемах, требуемых потребителем, в отсутствие персональных данных. С учетом позиции, изложенной в Определении КС РФ от 06.06.2002 N 115-О, суд апелляционной инстанции пришел к выводу о наличии в действиях медицинского учреждения состава административного правонарушения, предусмотренного ч. 1 ст. 14.4 КоАП РФ.

В силу ч. 7 ст. 5 Федерального закона N 152-ФЗ хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели их обработки, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей их обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом.

Предоставление персональных данных пациенту

Согласно ч. 3 ст. 14 Федерального закона N 152-ФЗ сведения о персональных данных предоставляются субъекту персональных данных или его представителю оператором при обращении либо получении запроса субъекта персональных данных или его представителя. Запрос должен содержать:

Примечание. В связи с тем что основная часть персональных данных пациентов является врачебной тайной, необходимо соблюдать требования Федерального закона N 323-ФЗ.

В п. 5 ст. 22 Федерального закона N 323-ФЗ сказано, что пациент или его законный представитель имеет право на основании письменного заявления получать отражающие состояние его здоровья медицинские документы, их копии и выписки из медицинских документов. Основания, порядок и сроки предоставления медицинских документов (их копий) и выписок из них устанавливаются уполномоченным федеральным органом исполнительной власти.

При наличии сомнений в подлинности соответствующего запроса в предоставлении персональных данных может быть отказано.

Так, в Апелляционном определении Красноярского краевого суда от 01.10.2014 N 33-9443/2014 отмечено следующее. Гражданин обратился с заявлением в районную больницу. В нем он попросил предоставить ему информацию по фактам его обращения за оказанием медицинской помощи, а именно сведения из амбулаторной карты, выписки из истории болезни за время нахождения на стационарном лечении и сведения об оказании гражданину скорой медицинской помощи.

Из ответа районной больницы следует, что по причине наличия сомнений в подлинности подписи гражданина запрашиваемая информация не выдана, разъяснены варианты получения медицинских сведений непосредственно самим истцом либо учреждением системы исполнения наказаний.

С учетом того что заявление гражданина не соответствует требованиям действующего законодательства, суд признал законным отказ районной больницы в выдаче сведений, составляющих врачебную тайну, по причине наличия сомнений в подлинности подписи гражданина.

Использование изображения пациента

Возникает вопрос о правомерности фото- и видеосъемки в медицинской организации. Согласно Разъяснениям Роскомнадзора "О вопросах отнесения фото- и видео-изображения, дактилоскопических данных и иной информации к биометрическим персональным данным и особенности их обработки" посетители публичных мест должны заранее извещаться их администрацией о возможной фото- и видеосъемке соответствующими текстовыми и (или) графическими предупреждениями. При соблюдении указанных условий согласия субъектов на проведение указанных мероприятий не требуется.

Аналогичного мнения придерживаются суды. Так, в Апелляционном определении Московского областного суда от 02.10.2012 N 33-19415/2012 арбитры указали, что осуществление видео- и аудиозаписи при оказании медицинской помощи:

Несколько иначе обстоит дело с использованием изображений пациента.

Для справки. В соответствии с п. 1 ст. 152.1 ГК РФ обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии, а также видеозаписи или произведения изобразительного искусства, в которых он изображен) допускаются только с согласия этого гражданина. Такое согласие должно быть оформлено в письменном виде с указанием фотографий, на использование которых пациент дает свое согласие.

На это указывает и судебная практика (Апелляционное определение Верховного Суда Удмуртской Республики от 30.09.2013). В ходе рассмотрения данного дела было установлено, что на сайте клиники размещены фотографии лица пациента с открытым ртом до и после лечения. Под фотографиями обозначены Ф.И.О. пациента. Из содержания информационного согласия к договору следует, что пациент дал согласие на снятие фото- и рентгеновских снимков до, во время и после лечения и на использование их врачом в научных публикациях, для демонстрации (лекции, Интернет), а также при разрешении спорных вопросов в судебном порядке.

По мнению клиники, подписав данное согласие, пациент выразил добровольное волеизъявление на обнародование своего изображения, в том числе в Интернете.

Однако суд указал, что из содержания информационного согласия, подписанного пациентом, не представляется возможным установить конкретный объем фотоснимков, на демонстрацию которых пациент дал согласие.

Исходя из рода деятельности клиники, предмета договора, специфики оказания стоматологических услуг согласие, данное пациентом, может и должно касаться только непосредственно процесса лечения, то есть быть направлено на фиксацию в виде фотоснимка зубов пациента. Согласие пациента на фотографирование всего лица из представленного информационного согласия к договору явно не следует и противоречит смыслу заключенного сторонами договора.

Таким образом, обнародование клиникой изображения всего лица пациента, а не только предмета договора - зубов нарушает право пациента на неприкосновенность частной жизни и является нарушением его нематериальных благ.

Заключение

Кратко сформулируем основные выводы.

  1. Медицинская организация при осуществлении своей деятельности должна как защищать персональные данные пациента, так и сохранять врачебную тайну.
  2. В заключении договора оказания медицинских услуг не может быть отказано по причине отсутствия полного перечня персональных данных.
  3. При оформлении согласия пациента на обработку его персональных данных необходимо четко определить перечень персональных данных и цели их обработки.
  4. При оказании медицинских услуг нужно предупреждать о фото- и видеосъемке в медицинском учреждении и оформлять согласие пациента на использование его конкретных фотографий.

В заключение отметим, что в соответствии с Федеральным законом N 526-ФЗ <3> 1 сентября 2015 г. вступает в силу Федеральный закон N 242-ФЗ <4>.

<3> Федеральный закон от 31.12.2014 N 526-ФЗ "О внесении изменения в статью 4 Федерального закона "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях".
<4> Федеральный закон от 21.07.2014 N 242-ФЗ "О внесении изменений в отдельные законодательные акты Российской Федерации в части уточнения порядка обработки персональных данных в информационно-телекоммуникационных сетях".

Данным нормативным актом установлена обязанность оператора персональных данных при сборе персональных данных через Интернет обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ.

Исключение из этого правила составят случаи, когда обработка персональных данных необходима, в частности, для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица и др. (п. п. 2, 3, 4, 8 ч. 1 ст. 6 Федерального закона N 152-ФЗ). Обеспечить нахождение на территории РФ баз данных должны будут обладатели информации, операторы информационной системы.

А.Мандрюков

Магистр права,

эксперт журнала

"Учреждения здравоохранения:

бухгалтерский учет и налогообложение"