2.2) обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 г. № 8-ФЗ «О Всероссийской переписи населения»;
2.3) обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях;
3) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
4) обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
Положения данного пункта были проверены Конституционным Судом РФ на предмет их соответствия Конституции РФ.[12 - См.: Определение Конституционного Суда РФ от 16 июля 2013 г. № 1176-О «Об отказе в принятии к рассмотрению жалобы гражданина Круглова Александра Геннадьевича на нарушение его конституционных прав пунктом 4 части 2 статьи 10 Федерального закона «О персональных данных»»]Как следовало из жалобы Круглова А.Г., поданной в Конституционный Суд РФ, Круглов обратился в суд с требованием обязать ГБУЗ Самарской области «Самарский психоневрологический диспансер» удалить его незаконно обрабатываемые персональные данные. Ленинский районный суд г. Самары, руководствуясь п. 4 ч. 2 ст. 10 Федерального закона «О персональных данных», решением от 25 января 2013 г., оставленным без изменения судом апелляционной инстанции, отказал заявителю в удовлетворении указанных требований.
По мнению заявителя, оспариваемое законоположение допускает сбор, хранение, использование и распространение информации о частной жизни лица без его согласия и не предусматривает условия прекращения обработки его персональных данных. В связи с этим заявитель просил признать оспариваемую норму не соответствующей ст. 2, 18, 19 (ч. 1 и 2), 21 (ч. 1), 23 (ч. 1), 24 (ч. 1), 45 (ч. 1), 46 (ч. 1), 55 (ч. 2) и 56 (ч. 3) Конституции РФ.
Конституционный Суд РФ не нашел оснований для принятия жалобы к рассмотрению, указав следующее. Федеральный закон «О персональных данных», принятый в целях обеспечения защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну, устанавливает принципы и условия обработки персональных данных (глава 2). В силу ст. 5 данного Федерального закона такая обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных. Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки (ч. 2, 4 и 5). По общему правилу, предусмотренному ч. 1 ст. 10 указанного Федерального закона, обработка специальных категорий персональных данных, касающихся, в частности состояния здоровья, интимной жизни, не допускается. Исключения из этого правила носят ограниченный характер, к их числу относится оспариваемая заявителем возможность обработки персональных данных в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну (п. 4 ч. 2 ст. 10). Таким образом, с позиций Конституционного Суда РФ, оспариваемое законоположение позволяет хранить информацию о состоянии здоровья граждан исключительно в целях реализации их права на охрану здоровья и медицинскую помощь, при этом конфиденциальность персональных данных обеспечивается врачебной тайной, а потому оно не может рассматриваться как нарушающее конституционные права заявителя в указанном им аспекте.
5) обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
6) обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
7) обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством;
7.1) обработка полученных в установленных законодательством Российской Федерации случаях персональных данных осуществляется органами прокуратуры в связи с осуществлением ими прокурорского надзора;
8) обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
9) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации, государственными органами, муниципальными органами или организациями в целях устройства детей, оставшихся без попечения родителей, на воспитание в семьи граждан.
Обработка специальных категорий персональных данных должна быть незамедлительно прекращена, если устранены причины, вследствие которых осуществлялась обработка, если иное не установлено федеральным законом.
Субъект персональных данных дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие должно быть конкретным, информированным и сознательным (ч. 1 ст. 9 Федерального закона «О персональных данных»).
Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя:
1) фамилию, имя, отчество, адрес субъекта персональных данных, номер и дату выдачи основного документа, удостоверяющего его личность, сведения о выдавшем его органе;
2) фамилию, имя, отчество, адрес представителя субъекта персональных данных, номер и дату выдачи основного документа, удостоверяющего его личность, сведения о выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя (при получении согласия от представителя субъекта персональных данных);
3) наименование или фамилию, имя, отчество и адрес оператора, получающего согласие субъекта персональных данных;
4) цель обработки персональных данных;
5) перечень персональных данных, на обработку которых дается согласие субъекта персональных данных;
6) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка будет поручена такому лицу;
7) перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных;
8) срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;
9) подпись субъекта персональных данных.
Указанные выше требования закона на практике не всегда исполняются. Многие медицинские организации, предлагающие гражданам подписать согласие на обработку своих персональных данных, не осведомляют пациента ни о тех службах, в которые могут быть направлены эти сведения, ни о том, какие именно персональные данные будут переданы. Одни медицинские организации включают данные о состоянии здоровья в приводимый на бланке перечень персональных данных, другие указывают данные о состоянии здоровья отдельно от персональных данных и добавляют к ним также данные о случаях обращения лица за медицинской помощью. Как правило, согласие пациента на передачу его персональных данных выделяется отдельной строкой. Но при этом не указывается, кому предполагается передавать эти данные. Такого указания не имеется, например, в бланке согласия на обработку персональных данных ФГБУ «ГНИЦ профилактической медицины» Минздрава России. В бланках медицинских организаций встречаются и явно несоответствующие закону оговорки. Так, в бланке стоматологической поликлиники № 2 Управления здравоохранения Западного округа г. Москвы записано, что «субъект» дает согласие на передачу информации третьим лицам «в случаях, установленных нормативными документами вышестоящих органов и законодательством».
Согласно закону согласие на обработку персональных данных может быть отозвано субъектом персональных данных. В этом случае оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных при наличии оснований, указанных в п. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч 2 ст. 11 настоящего Федерального закона.
На основании Федерального закона «О персональных данных» в России создан уполномоченный орган по защите прав субъектов персональных данных, который призван обеспечивать контроль и надзор за соответствием обработки персональных данных требованиям Федерального закона, рассматривать обращения граждан (субъектов персональных данных) о соответствии содержания персональных данных и способов их обработки целям их обработки. Указанный орган вправе, в частности обращаться в суд с исковым заявлением в защиту прав граждан и представлять их интересы в суде. Этим уполномоченным органом является Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор). Это орган исполнительной власти Российской Федерации, находящийся в ведении Минкомсвязи. На территории Москвы и Московской области таким органом соответственно является Управление Роском-надзора по Москве и Московской области.
Одним из средств защиты информации от несанкционированного использования является ее обезличивание, то есть действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. Приказом Роскомнадзора от 5 сентября 2013 г. № 996 утверждены требования и методы по обезличиванию персональных данных. Этот процесс должен затронуть и медицинские организации. Для возможности их обработки обезличенные данные должны обладать свойствами, сохраняющими основные свои характеристики.
Как обеспечивается соблюдение конфиденциальности информации, составляющей врачебную тайну, в медицинских учреждениях, страховых компаниях?
Соблюдение конфиденциальности – это проблема не только каждого конкретного врача, медсестры, осуществляющих обслуживание пациента, но и целого медицинского коллектива, учреждения, обязанного обеспечить тайну.
Механизм обеспечения права граждан на конфиденциальность информации, составляющей врачебную тайну, в медицинских учреждениях, работающих в системе обязательного медицинского страхования (ОМС), филиалах территориальных фондов ОМС, а также в страховых медицинских организациях приведен в методических рекомендациях Федерального фонда обязательного медицинского страхования.[13 - См.: Методические рекомендации «Обеспечение права граждан на соблюдение конфиденциальности информации о факте обращения за медицинской помощью и связанных с этим сведениях, информированное добровольное согласие на медицинское вмешательство и отказ от него», утвержденные директором ФФОМС 27 октября 1999 г. (письмо от 29 октября 1999 г. № 5470/30-3/и). Документ признан подлежащим применению в части, не противоречащей Закону об охране здоровья (письмо ФФОМС от 26 апреля.2012 г. № 3021/80-1/и).]
Согласно п. 4.2. методических рекомендаций при обращении граждан за медицинской помощью и ее получении в лечебно-профилактических учреждениях информация о том, кому могут предоставляться сведения о факте обращения за медицинской помощью, в том числе о пребывании пациента в медицинском учреждении в настоящее время, состоянии его здоровья, диагнозе его заболевания и иных сведениях, полученных при его обследовании и лечении, должна со слов пациента заноситься в его медицинскую документацию и им подписываться. Соответственно, в отношении амбулаторного пациента эта информация должна быть отражена в медицинской карте амбулаторного больного, в отношении пациента в стационаре – в медицинской карте стационарного больного.
Аналогичная информация должна заноситься в медицинские карты пациентов, не достигших возраста 15 лет, и лиц, признанных судом недееспособными, и быть подписана их законными представителями.
В последующем лечащий (или дежурный) врач, должностные лица медицинского учреждения, сотрудники справочного бюро и других подразделений должны учитывать данную информацию при общении с третьими лицами, а также при ответах на письменные и устные обращения юридических и физических лиц по вопросам, касающимся данного пациента.
В территориальных фондах ОМС и страховых медицинских организациях определяется круг лиц из числа работников и внештатных врачей-экспертов, которые в силу своих служебных и профессиональных обязанностей имеют доступ к сведениям, составляющим врачебную тайну. Данные лица включаются в списки, которые утверждаются приказом руководителя территориального фонда ОМС или страховой медицинской организации. Работникам территориального фонда ОМС и страховых медицинских организаций, включенным в упомянутые списки, а также внештатным медицинским экспертам, пользующимся медицинской документацией и другими материалами, содержащими сведения, составляющие врачебную тайну, в силу своих профессиональных обязанностей, выдается специальный вкладыш к служебному удостоверению, дающий право на допуск к данной документации.
Одновременно для обеспечения конфиденциальности сведений, составляющих врачебную тайну, в территориальном фонде ОМС и страховой медицинской организации устанавливается порядок прохождения поступивших в территориальный фонд или страховую медицинскую организацию документов из учреждений и обращений от граждан со сведениями, составляющими врачебную тайну. Данный порядок должен исключать возможность для сторонних лиц, а также работников территориального фонда ОМС или страховой медицинской организации, не имеющих допуск к сведениям, составляющим врачебную тайну, знакомиться и пользоваться поступившими, находящимися на рассмотрении или оставляемыми в фонде ОМС (страховой медицинской организации) документами, содержащими эти сведения, или их копиями.
Как должна обеспечиваться информационная безопасность в медицинской организации?
Пациенты как субъекты персональных данных, в том числе составляющих врачебную тайну, передавая сведения о себе, вправе рассчитывать на соблюдение конфиденциальности при использовании данной информации в медицинских организациях. Это подразумевает не только применение технических средств защиты (специальные сертифицированные программные и технические средства защиты информации[14 - См.: Положение о методах и способах защиты информации в информационных системах персональных данных, утвержденное приказом ФСТЭК России от 5 февраля 2010 г. № 58]), но и проведение комплекса организационных мероприятий, направленных на предотвращение потери, искажения ине-санкционированного доступа к персональным данным.
Указанный комплекс мероприятий должен подразумевать наличие в медицинской организации должностных инструкций, положения об обработке персональных данных, журналов (журнала регистрации используемого программного обеспечения, журнала по учету носителей информации, содержащей персональные данные, журнала учета обращений граждан – субъектов персональных данных, журнала регистрации выявленных нарушений). Должны функционировать регламенты взаимодействия между подразделениями медицинской организации, регламенты использования программного обеспечения, ресурсов сети Интернет, требования к профессиональной подготовке персонала. Медицинские работники должны подписывать обязательства о неразглашении данных.[15 - Подробнее см.: Назарова Н.В. Обработка персональных данных в медицинской организации // Правовые вопросы в здравоохранении, 2013, № 6. С. 38–50]
Приказом руководителя (главного врача) медицинской организации из числа работников назначается ответственный за организацию обработки персональных данных. В его обязанности входит контроль за соблюдением оператором и сотрудниками медицинской организации законодательства о персональных данных и требований к их защите; доведение до сведения сотрудников положений законодательства и иных актов, в т. ч. локальных актов организации, регламентирующих процесс обработки персональных данных; организация приема и обработки обращений и запросов субъектов персональных данных.
Активно разрабатываемые медицинскими организациями электронные истории болезни[16 - См.: Национальный стандарт Российской Федерации «Электронная история болезни. Общие положения ГОСТ Р 52636-2006». Утвержден приказом Федерального агентства по техническому регулированию и метрологии от 27 декабря 2006 г. № 407-ст. Введен в действие 1 января 2008 г.] во многих отношениях могут быть удобнее и надежнее бумажных, в частности, появляется возможность легко и эффективно контролировать доступ к ним лишь конкретных лиц. В то же время потенциальная возможность передачи огромного количества конфиденциальной информации с колоссальной скоростью практически неограниченному числу адресатов порождает серьезные проблемы, относящиеся не к конфиденциальности, а именно к сфере информационной безопасности. Впрочем, по данным исследований, в России в 90 % случаев в утечке информации виноват персонал, а не хакеры.[17 - Российская газета, 2013, 11 июня]
Какие требования по соблюдению врачебной тайны предъявляются к оформлению листков нетрудоспособности?
Согласно ч. 5 ст. 59 Закона об охране здоровья при оформлении листка нетрудоспособности в целях соблюдения врачебной тайны указывается только причина временной нетрудоспособности (заболевание, травма или иная причина). По письменному заявлению гражданина в листок нетрудоспособности могут вноситься, однако, сведения о диагнозе заболевания. Впрочем, в форме бланка листка нетрудоспособности строка, предусматривающая отметку врача о диагнозе пациента, отсутствует.
Ранее действовавшая форма бланка листка нетрудоспособности, утвержденная приказом Минздравсоцразвития России от 16 марта 2007 г. № 172 обязывала врача указывать рядом со своей фамилией и подписью еще и специальность, что вело к нарушению нормы о врачебной тайне. После направления в министерство обращения юридической службы НПА России по данному вопросу в Порядок выдачи медицинскими организациями листков нетрудоспособности, утвержденный приказом Минздравсоцразвития от 1 августа 2007 г. № 514, было внесено дополнение, согласно которому при оформлении листов нетрудоспособности в некоторых медицинских организациях (психиатрических, наркологических организациях, центрах по профилактике и борьбе со СПИДом и инфекционными заболеваниями и др.) по согласованию с пациентами или их законными представителями вместо указания отдельных специальностей врача (психиатр, нарколог, дерматолог, венеролог, фтизиатр и др.) могут быть указаны специальности врачей общего профиля (терапевт, семейный врач, педиатр и др.), а также зубной врач, фельдшер.[18 - См. также письмо Минздравсоцразвития России от 20 ноября 2007 г. № 32541/МЗ-14]
В ныне действующей форме бланке листка нетрудоспособности, утвержденной приказом Минздравсоцразвития России от 26 апреля 2011 г. № 347н, специальность врача не проставляется. Вместо графы «Специальность врача» введена графа «Должность врача». Однако указание должности врача, зачастую, раскрывает его специальность и не обеспечивает сохранение врачебной тайны.
Новый Порядок выдачи листков нетрудоспособности, утвержденный приказом Минздравсоцразвития России от 29 июня 2011 г. № 624н ввел правило, согласно которому при оформлении листков нетрудоспособности в некоторых медицинских организациях (психиатрических, наркологических организациях, центрах по профилактике и борьбе со СПИДом и инфекционными заболеваниями и др.) по согласованию с нетрудоспособным гражданином или его законным представителем могут быть указаны должности врачей общего профиля, либо «зубной врач», «фельдшер» (п. 60).
Раскрыть конфиденциальную информацию может не только указание должности врача, но и печать, а также штамп медицинской организации. По общему правилу оттиск печати медицинской организации должен соответствовать названию, указанному в ее уставе. В целях соблюдения врачебной тайны из этого правила предусмотрено исключение. При оформлении листков нетрудоспособности в некоторых медицинских организациях (психиатрических, наркологических организациях, центрах по профилактике и борьбе со СПИДом и инфекционными заболеваниями и др.) могут быть использованы специальные печати или штампы без указания профиля организации (п. 56).
Продолжает оставаться действующим также межведомственный нормативный акт более широкого спектра действия. Это приказ Минздрава России от 17 мая 1995 г. № 128 и постановление Фонда социального страхования РФ от 17 мая 1995 г. № 25 «О печатях и штампах для оформления медицинских документов». В нем установлено следующее правило: «По согласованию с пациентом или его законным представителем, при оформлении документов, удостоверяющих временную нетрудоспособность граждан, и других медицинских документов органы здравоохранения, лечебно-профилактические, учебные и научно-исследовательские учреждения и организации должны использовать специальные печать или штамп учреждения, организации без указания его профиля. Например, вместо «Московская городская психиатрическая (кожно-венерологическая, наркологическая, туберкулезная и др.) больница (диспансер) № 1» следует именовать: «Московская городская больница (диспансер) № 1». В данном документе ничего не говорится, однако, об использовании для указанных целей специальных бланков, хотя потребность в них очевидна.
Порядок осуществления фондом социального страхования Российской Федерации проверки соблюдения порядка выдачи, продления и оформления листков нетрудоспособности, утвержденный приказом Минздрава России от 21 декабря 2012 г. № 1345н, содержит норму о соблюдении врачебной тайны, ставшей известной в ходе проведения проверок должностными лицами территориальных органов Фонда (п. 12).