28.03.2024

«Первая заповедь врача: не навреди». Гиппократ

В век активной информатизации особо актуальным и уместным кажется выражение Натана Ротшильда «Кто владеет информацией — тот владеет миром». Однако, когда информация уже получена, возникает другой вполне законный вопрос — как надежно защитить эту информацию?

В последнее время в России  существенно повысился интерес к вопросам правовой защиты частной жизни человека. Стремительная информатизация общественных отношений, переход к повсеместному использованию компьютеризированных баз данных делают особо важной защиту информации о частной жизни человека. Медицинская деятельность невозможна без использования большого количества персональных данных о пациенте. Как обеспечить их сохранность?

С этим и другими вопросами мы обратились к руководителю Управления Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций по Республике Татарстан Айрату Зарипову.

На вопрос: «В чем же заключается особенность правовой защиты персональных данных в медицинских учреждениях?» — руководитель Управления Роскомнадзора по Республике Татарстан ответил, что все нормативно-правовые акты, регламентирующие требования к организации обработки персональных данных для всех, в том числе и  медицинских учреждений, одинаковы. Сюда входят: Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных», постановление Правительства РФ от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Указ Президента РФ от 06.03.1997 № 188 «Об утверждении перечня сведений конфиденциального характера». Есть и специфические документы, для медицинских учреждений это «Основы законодательства Российской Федерации об охране здоровья граждан».

Также права пациента, связанные с информацией и конфиденциальностью, изложены в ст. 31 и 61 Основ законодательства РФ, а Федеральным законом № 152-ФЗ регламентируются отношения, возникающие в связи с обработкой персональных данных с использованием средств автоматизации применительно к деятельности медицинских организаций, которые как раз и являются оператором обработки персональных данных.

Согласно Федеральному закону № 152-ФЗ оператор — это государственный орган, муниципальный орган, юридическое или физическое лицо, организующее и (или) осуществляющее обработку персональных данных, а также определяющее цели и содержание обработки персональных данных.

Медицинская организация обретает статус оператора обработки персональных данных относительно своих сотрудников и пациентов. В соответствии с требованиями ст. 22 Закона № 152-ФЗ операторы, осуществляющие обработку персональных данных, должны уведомлять об этом уполномоченный орган, за исключением случаев, перечисленных в законе. Таким уполномоченным органом на территории  Республики Татарстан является Управление Роскомнадзора по Республике Татарстан. Подробную информацию можно найти на сайте 16.rsoс.ru.

Однако, нужно ли получать согласие от пациента на  обработку его персональных данных? «Законом установлено, что медицинское учреждение, осуществляющее обработку персональных данных, обязано предоставить доказательство согласия пациента или работника на обработку его персональных данных. Таким образом, устанавливается презумпция вины оператора, и риски будет нести медицинская организация, если такого согласия у неё нет», — разъяснил нам глава Управления Айрат Зарипов.

Так как в Татарстане достаточно много медицинских учреждений как государственных, так и частных, то вполне логично у нас возник вопрос, все ли они встали на учет?  Оказывается, на сегодня в реестр операторов персональных данных внесено 386 медицинских учреждений. Это в основном государственные организации.

«Я обращаюсь к руководителям частных медицинских учреждений с просьбой ускорить процесс направления уведомлений об обработке персональных данных в наш адрес», — выразил свою озабоченность Айрат Ринатович.

А теперь остановимся подробнее на обязанностях лечебных учреждений — операторов обработки персональных данных. При сборе персональных данных они обязаны предоставить пациенту по его просьбе следующую информацию:

— подтверждение факта обработки персональных данных оператором, а также цель данной обработки;

— способы обработки персональных данных, применяемые оператором;

— сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ;

— перечень обрабатываемых персональных данных и источник их получения;

сроки обработки персональных данных, в т. ч. сроки их хранения;

— сведения о том, какие юридические последствия для субъекта может повлечь за собой обработка его персональных данных;

— разъяснения последствий его отказа в предоставлении своих персональных данных в случае, если это установлено в качестве обязанности субъекта федеральным законом.

Если персональные данные были получены не от субъекта персональных данных, оператор до начала их обработки обязан предоставить субъекту следующую информацию:

— наименование (фамилия, имя, отчество) и адрес оператора или его представителя, от которого были получены данные;

— цель обработки персональных данных и ее правовое основание;

— предполагаемые пользователи персональных данных;

— установленные права субъекта персональных данных.

Собеседник «Медицинского вестника» отметил, что если пациент обращается в медицинское учреждение в рамках обязательного медицинского страхования либо добровольного медицинского страхования, то страховая компания представляет в лечебное учреждение персональные данные пациента.

Руководитель Управления указал на еще один нормативно-правовой акт — постановление Правительства Российской Федерации  от 17.11.2007 № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных», фиксирующий весьма важные обязанности операторов. Здесь стоит рассказать о них в деталях.

Так, обмен персональными данными при их обработке в информационных системах должен осуществляться по защищенным каналам связи.  Размещение информационных систем, специальное оборудование и охрана помещений, в которых ведется работа с персональными данными, организация режима безопасности в этих помещениях должны обеспечивать сохранность носителей персональных данных и средств защиты информации, а также исключать возможность неконтролируемого проникновения или пребывания в этих помещениях посторонних лиц.

А какими правами обладают пациенты медицинских учреждений как субъекты персональных данных, поинтересовались мы у Айрата Зарипова?  Оказывается, пациент имеет право на получение сведений об операторе, о месте его нахождения, о наличии у оператора относящихся лично к пациенту персональных данных, и может ознакомиться с этими персональными данными.

Если вы пациент, то можете требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принятия предусмотренных законом мер по защите своих прав.

В этом случае вы также имеете право на предоставление оператором сведений о наличии персональных данных в доступной форме.

На основании запроса доступ к персональным данным может быть предоставлен законному представителю субъекта (в соответствии со ст. 26 Гражданского кодекса РФ это родители, усыновители или попечитель лица в возрасте от 14 до 18 лет).

При необходимости оказания медицинской помощи лицу, не достигшему возраста совершеннолетия, перед медицинским учреждением встает ряд вопросов, касающихся участия в данном процессе его законного представителя. В Управлении Роскомнадзора по РТ особо отметили, что сотрудники медицинского учреждения зачастую неверно трактуют понятие законного представителя, считая, что это человек, которому пациент доверяет информацию о факте его обращения за медицинской помощью, состоянии здоровья, диагнозе заболевания и иные сведения, полученные при его обследовании и лечении.

Тем не менее, статус законного представителя иной: он вправе осуществлять от имени представляемого любые действия и определять, кому будет разглашена информация, составляющая врачебную тайну пациента. У лица же, которому могут быть переданы сведения, составляющие врачебную тайну, никаких прав по вступлению в гражданские правоотношения от имени пациента нет.

Пациент может обратиться с запросом на получение информации, касающейся обработки его персональных данных, и оператор обязан удовлетворить этот запрос. Сюда входит подтверждение факта обработки персональных данных оператором, цель и способы такой обработки,  сведения о лицах, которые имеют доступ к персональным данным или которым может быть предоставлен такой доступ, перечень обрабатываемых персональных данных и источник их получения, сроки обработки персональных данных, включая сроки их хранения, а также сведения о том, какие юридические последствия для субъекта персональных данных может повлечь за собой обработка его персональных данных.

В Основах законодательства РФ отражены права пациента на конфиденциальность информации о его здоровье и обязанность врача соблюдать врачебную тайну.

В завершение беседы Айрат Зарипов заметил, что медицинским учреждениям следует хорошо ориентироваться в вопросах законодательства, регулирующего защиту персональных данных, поскольку это затрагивает интересы их информационной безопасности. Специалисты Управления Роскомнадзора по Республике Татарстан готовы оказать консультативную помощь по этим вопросам. Достаточно позвонить по телефонам (843) 228-59-06 или (843) 228-72-92. Можно также задать вопрос по электронной почте: [email protected], [email protected]

P.S. И кое что ещё…

В соответствии с п. 4 части 2 статьи 6 Федерального закона № 152-ФЗ согласие субъекта персональных данных не требуется в 7 случаях, в том числе — если обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.

В связи с аномальными погодными условиями и тяжелой экологической ситуацией, сложившейся этим летом, хочется подчеркнуть, что не требуется согласие человека на обработку персональных данных, если ему необходима срочная медицинская помощь на месте стихийного бедствия или техногенной катастрофы, если он потерял сознание от солнечного или теплового удара, если пострадал в автомобильной или другой катастрофе, если чуть не стал жертвой беспечного поведения на воде…

Алия Исламова