к какой категории персональных данных относятся сведения о состоянии здоровья пациента
Сведения о трудоспособности и о состоянии здоровья как персональные данные
Являются ли сведения, относящиеся к возможности выполнения трудовой функции работником (инвалидность, временная нетрудоспособность, беременность, соответствие параметров здоровья допустимым при решении вопроса о допуске к работе), к специальной категории персональных данных – сведениям о состоянии здоровья, или сведения о трудоспособности являются отдельной категорией персональных данных и не могут быть отнесены к сведениям о состоянии здоровья?
В настоящее время, при проведении проверок операторов, сотрудники Роскомнадзора исходят из следующей позиции: сведения, относящиеся к возможности выполнения трудовой функции работником, относятся к сведениям о состоянии здоровья. Данная позиция обладает следующей спецификой:
Существует иная точка зрения, согласно которой необходимо разделять понятия «сведения о состоянии здоровья» и «сведения о трудоспособности». Эта позиция подтверждается судебной практикой (см. дело Роскомнадзор против Центра занятости).
К сожалению, в принятом Федеральном законе от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» не дается определение понятия «сведения о состоянии здоровья». Тем не менее, в указанном акте закреплены следующие определения:
Официальная позиция Роскомнадзора
Указываемая в листке нетрудоспособности информация о субъекте персональных данных, касающаяся факта обращения за медицинской помощью, причин нетрудоспособности, а также иных данных, подлежащих указанию в листке нетрудоспособности (например: установление или изменение группы инвалидности), являются сведениями о состоянии здоровья субъекта персональных данных.
Данные о датах освобождения от работы не являются сведениями о состоянии здоровья субъекта персональных данных. Информация о причинах нетрудоспособности может являться сведениями о состоянии здоровья субъекта персональных данных с учетом характера и полноты информации, содержащейся в листке нетрудоспособности в каждом конкретном случае.
Судебная практика
Победы Роскомнадзора и Прокуратуры:
Победы операторов персональных данных:
Правовые основания обработки работодателями сведений, содержащихся в документах, подтверждающих временную нетрудоспособность гражданина (листках нетрудоспособности)
Правовые основания обработки работодателями сведений о результатах медицинских осмотров, диспансеризации
Правовые основания обработки работодателями сведений о инвалидности и сведений, содержащихся в медицинских заключениях
Образец медицинского заключения с указанными в нем сведениями о состоянии здоровья.
Правовые основания обработки работодателями сведений при санитарно-бытовом и лечебно-профилактическом обслуживание работников
Помимо этого работодатель должен создать санитарные посты с аптечками, укомплектованными набором лекарственных средств и препаратов для оказания первой помощи. Для комплектования аптечек работодатель может воспользоваться Приказом Минздравмедпрома РФ от 20.08.1996 № 325 «Об утверждении состава и рекомендаций по применению аптечки первой помощи (автомобильной)».
Работодатель обязан обеспечить за свой счет или на своем транспортном средстве перевозку в медицинские организации или к месту жительства работников, пострадавших от несчастных случаев на производстве и профессиональных заболеваний, а также по иным медицинским показаниям (ч. 2 ст. 223 ТК РФ ).
Обработка информации о листках нетрудоспособности в ИСПДн
Итак, нам видятся следующие основные пути решения этого вопроса:
I. Не признавать официально данные из больничного листка данными о состоянии здоровья. С учётом позиции Роскомнадзора, риски характеризуются, например, выигранными Роскомнадзором судебными делами.
II. Признать данные из больничного листка данными о состоянии здоровья и классифицировать систему «1С» как класс «К1». На наш взгляд, абсурдное и излишне дорогое, но полностью соответствующее букве закона решение.
III. Признать данные из больничного листка данными о состоянии здоровья и классифицировать систему «1С» как класс «Специальная, К2» или «Специальная, К3» по нашей методике определения класса на основании модели угроз. Риски существенно ниже, чем при варианте I, а стоимость защиты – примерно такая же.
Вариант III представляется наиболее сбалансированным и мы рекомендуем остановиться именно на нём.
К какой категории персональных данных относятся сведения о состоянии здоровья пациента
(1).jpg "к какой категории персональных данных относятся сведения о состоянии здоровья пациента. Смотреть фото к какой категории персональных данных относятся сведения о состоянии здоровья пациента. Смотреть картинку к какой категории персональных данных относятся сведения о состоянии здоровья пациента. Картинка про к какой категории персональных данных относятся сведения о состоянии здоровья пациента. Фото к какой категории персональных данных относятся сведения о состоянии здоровья пациента")
Об актуальных изменениях в КС узнаете, став участником программы, разработанной совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу выдаются удостоверения установленного образца.
Программа разработана совместно с АО «Сбербанк-АСТ». Слушателям, успешно освоившим программу, выдаются удостоверения установленного образца.
Можно ли отнести к персональным данным сведения о занятиях спортом, хобби, состоянии здоровья, вредных привычках, содержащиеся в анкете, которую заполняет соискатель при трудоустройстве на работу? Необходимо ли получить от соискателя при трудоустройстве письменное согласие на их обработку?
По данному вопросу мы придерживаемся следующей позиции:
Указанные в вопросе сведения, относящиеся к конкретному лицу, являются его персональными данными. Если предполагается их обработка исключительно в целях заключения трудового договора, а затем для его исполнения и выполнения обязанностей, возложенных на работодателя трудовым законодательством, получать согласие соискателя на такую обработку необязательно.
Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Прибыткова Мария
Ответ прошел контроль качества
Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг.
————————————————————————-
*(1) Обработкой персональных данных признается любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 Закона N 152-ФЗ).
*(2) Необходимо обратить внимание на строгое требование закона о том, чтобы содержание и объем обрабатываемых персональных данных соответствовали заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки (ч. 5 ст. 5 Закона N 152-ФЗ).
К какой категории персональных данных относятся сведения о состоянии здоровья пациента
Памятка для медицинских учреждений по актуальным проблемам обработки персональных данных
ПАМЯТКА
ДЛЯ МЕДИЦИНСКИХ УЧРЕЖДЕНИЙ
ПО АКТУАЛЬНЫМ ПРОБЛЕМАМ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Что такое персональные данные пациента?
Понятие персональных данных содержится в пункте 1 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее − Федеральный закон о персональных данных). Ими признается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Заполняя медицинскую карту амбулаторного больного или заключая договор оказания медицинских услуг, медицинская организация получает персональные данные пациента такие как: фамилия, имя, отчество; дата рождения; адрес по месту проживания; пол; вес; рост; сведения о состоянии здоровья; сведения о результатах анализов, при этом обязана соблюдать определенные требования.
Нормативные правовые акты в области здравоохранения не устанавливают обязанность медицинских учреждений требовать от пациента документы, удостоверяющие личность, а также не предусматривают возможность отказа в оказании медицинской помощи гражданину, который отказывается или не может предъявить личные документы.
Медицинская организация в процессе своей деятельности должна соблюдать требования по защите персональных данных и сохранению врачебной тайны.
Правила обработки персональных данных пациента
Согласно пункту 3 статьи 3 Федерального закона о персональных данных обработка персональных данных − любое действие (операция) или совокупность действий (операций), совершаемых с персональными данными с использованием средств автоматизации или без использования таковых, включая сбор, запись, систематизацию персональных данных, их накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу персональных данных (их распространение, предоставление, доступ к ним), обезличивание, блокирование, удаление, уничтожение персональных данных.
Обработка персональных данных допускается с согласия субъекта персональных данных либо при наличии иных оснований, предусмотренных пунктами 2-11 части 1 статьи 6 Федерального закона о персональных данных.
Так согласно пункту 6 части 1 статьи 6 Федерального закона обработка персональных данных, необходимая для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно.
Обработка специальных категорий персональных данных без получения согласия пациента для медицинской организации возможна в следующих случаях:
— обработка персональных данных для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
— обработка персональных данных в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну (пункт 4 части 2 статьи 10 Федерального закона о персональных данных).
Предоставление персональных данных пациенту
Согласно части 3 статьи 14 Федерального закона о персональных данных сведения о персональных данных предоставляются субъекту персональных данных или его представителю оператором при обращении либо получении запроса субъекта персональных данных или его представителя.
Запрос должен содержать:
— номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе;
— сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дату его заключения, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя.
Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации.
Обеспечение неограниченного доступа к документам, определяющим политику медицинской организации в отношении обработки персональных данных
Согласно статье 18.1 Федерального закона о персональных данных оператор (медицинская организация) обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
Опубликование сведений о медицинской деятельности и о медицинских работниках
Согласно пункту 7 части 1 статьи 79 Федерального закона от 21.11.2011
№ 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» медицинская организация обязана информировать граждан в доступной форме, в том числе с использованием сети «Интернет», об осуществляемой медицинской деятельности и о медицинских работниках медицинских организаций, об уровне их образования и об их квалификации, а также предоставлять иную необходимую для проведения независимой оценки качества оказания услуг медицинскими организациями информацию.
Во исключение данной правовой нормы приказом Минздрава России от 30.12.2014 № 956н утверждены требования к содержанию и форме предоставления информации о деятельности медицинских организаций, размещаемой на официальных сайтах Министерства здравоохранения Российской Федерации, органов государственной власти субъектов Российской федерации, органов местного самоуправления и медицинских организаций в информационно-телекоммуникационной сети «Интернет». Обработка персональных данных лиц, не предусмотренных данным правовым актом, а также обработка категорий персональных данных в объеме, превышающем объем определенный приказом, возможен только с согласия субъекта персональных данных.
Время публикации: 10.01.2018 14:32
Последнее изменение: 10.01.2018 14:33
Прокурор разъясняет
Врачебная тайна относится к сведениям, непосредственно связанным с профессиональной деятельностью медицинских работников, доступ к которой ограничен на основании Конституции Российской Федерации и федеральных законов.
Необходимость неукоснительного соблюдения требований о неразглашении сведений, составляющих врачебную тайну, непосредственно закреплена в части 1 статьи 23 Конституции Российской Федерации, где указано, что «каждый имеет право на неприкосновенность частной жизни, личную и семейную тайну».
Врачебная тайна относится к частной жизни человека и её суть заключается в защите права граждан на личную и семейную тайну от необоснованного и незаконного проникновения государственных органов, органов местного самоуправления, государственных и негосударственных организаций, должностных и физических лиц.
Сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, как раз и составляют врачебную тайну (Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации»), а именно его статья 13, содержание которой отражает особое отношение государства к охране врачебной тайны, а именно, врачебную тайну составляют «сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении».
Следует также принимать во внимание, что врачебной тайной охватываются и данные о состоянии здоровья человека при отсутствии у него каких-либо заболеваний.
Врачебной тайной являются как медицинские данные, так и иная другая информация, полученная в процессе оказания медицинской помощи. То есть это могут быть сведения и немедицинского характера, полученные врачом от пациента о его личной жизни, взаимоотношениях с родственниками и так далее.
Стоит отметить, что специфика врачебной тайны выражается в том, что тайными становятся не только сведения о реально существующих фактах, но и о предполагаемых. Например, предварительный диагноз может быть не подтвержден в последующем, тем не менее, медицинский работник не должен разглашать предполагаемые данные третьим лицам.
Кроме того, врачебной тайной являются также сведения, не только оформленные на бумажном носителе, но и ставшие известны из разговора или находящиеся на электронных носителях (в том числе электронная история болезни, данные снимков КТ, МРТ, флюорография и прочее).
По общему правилу разглашение сведений, составляющих врачебную тайну, запрещено, в том числе после смерти человека.
Разглашение сведений, составляющих врачебную тайну может выражаться несколькими способами, а именно:
В статье 3 Федерального закона «О персональных данных» от 27.07.2006 №152-ФЗ содержится определение термина «персональные данные», под которыми понимается любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу. Целью указанного закона является обеспечение защиты прав и свобод человека и гражданина при обращении с его персональными данными, в том числе защита права на неприкосновенность частной жизни, личную и семейную тайну.
Следует отметить, что понятие врачебной тайны является более широким, нежели персональные данные. И ряд сведений, не относящихся к персональным данным, все равно относятся к врачебной тайне. Например, исключительно данные о диагнозе пациента или методе лечения не позволят идентифицировать лицо.
С письменного согласия гражданина или его законного представителя могут быть разглашены сведения, составляющие врачебную тайну в целях медицинского обследования и лечения пациента, проведения научных исследований, их опубликования в научных изданиях, использования данных сведений в учебном процессе.
Законодательством установлены случаи, при которых возможно предоставление сведений, составляющих врачебную тайну, без согласия гражданина (его законного представителя).
Например, при проведении медицинского обследования и лечения гражданина, который в результате своего состояния не способен выразить свою волю, угрозе распространения инфекционных заболеваний, наличии запроса органов дознания и следствия, суда в связи с проведением расследования или судебным разбирательством, запроса органов прокуратуры в связи с осуществлением ими прокурорского надзора, и др.
Кроме того, при неблагоприятном прогнозе развития заболевания допускается предоставление информации о состоянии здоровья пациента супругу (супруге), одному из близких родственников (детям, родителям, усыновленным, усыновителям, родным братьям и родным сестрам, внукам, дедушкам, бабушкам), если пациент не запретил сообщать им об этом.
В случае разглашения сведений, составляющих врачебную тайну, действующим законодательством предусмотрена как административная, так и уголовная ответственность. Ответственности подлежат лица, которым сведения, составляющие врачебную тайну, стали известны при обучении, исполнении трудовых, должностных, служебных и иных обязанностей.
Уголовная ответственность за разглашение врачебной тайны установлена ст. 137 Уголовного кодекса Российской Федерации («Нарушение неприкосновенности частной жизни»).
Максимальное наказание за совершение данного деяния предусмотрено в виде штрафа в размере от 150 тысяч до 350 тысяч рублей или в размере заработной платы или иного дохода осужденного за период от 18 месяцев до 3 лет, либо лишением права занимать определенные должности или заниматься определенной деятельностью на срок от 3 до 5 лет, либо принудительными работами на срок до 5 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 6 лет или без такового, либо арестом на срок до 6 месяцев, либо лишением свободы на срок до 5 лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до 6 лет.
Кроме того, согласно ст. 1068 Гражданского кодекса Российской Федерации юридическое лицо возмещает вред, причиненный его работником при исполнении трудовых (служебных, должностных) обязанностей. Это означает, что медицинское учреждение (должностные лица) в данной ситуации также может быть привлечено к гражданско-правовой ответственности.
Персональные данные пациентов в медицинских организациях: требования к обработке и ответственность
Медицинские организации в силу законодательства являются операторами персональных данных своих пациентов. Они принимают непосредственное участие в сборе, систематизации, накоплении, хранении, уточнении, обновлении, изменении, распространении и уничтожении такой информации. Разберемся, какие требования предъявляет законодательство к медицинской организации в качестве оператора персональных данных и какие виды ответственности предусмотрены за их нарушение.
Персональные данные представляют собой любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных) (ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — Закон № 152-ФЗ)).
Медицинская организация, получая персональные данные от пациента (субъекта персональных данных), например, при его первоначальном поступлении или заключении договора на оказание медицинских услуг, а также в процессе лечения, приобретает статус оператора. У нее возникают определенные обязанности в части работы с полученными персональными данными.
Данные обязанности регулируются следующими нормативными актами:
– Конституция РФ;
– КоАП РФ, УК РФ, ГПК РФ;
– упомянутый выше Закон № 152-ФЗ;
– Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
– Федеральный закон от 21.11.2011 № 323-ФЗ «Об основах охраны здоровья граждан в РФ» (далее — Закон № 323-ФЗ);
– другие положения и нормативно-правовые акты.
Важно!
Оператор персональных данных — это государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (ст. 3 Закона № 152-ФЗ).
Персональные данные пациента и врачебная тайна
Сразу отметим, что информация о состоянии здоровья пациента относится к специальным категориям персональных данных, обработка которых не допускается, за исключением случаев, когда (ст. 10 Закона № 152-ФЗ):
– пациент дал согласие в письменной форме на обработку своих персональных данных;
– пациент сам сделал персональные данные общедоступными;
– обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов пациента либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия пациента невозможно;
– обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну.
Информация, являющаяся врачебной тайной, — это отдельный подвид персональных данных. Она представляет собой сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья, диагнозе и иные сведения, полученные при его медицинском обследовании и лечении (п. 1 ст. 13 Закона № 323-ФЗ). Ее разглашение не допускается (п. 2 ст. 13 Закона № 323-ФЗ), за исключением отдельных случаев, о которых мы расскажем ниже.
Обработка персональных данных
Обработка персональных данных — это любое действие (операция) или совокупность действий (операций), совершаемых с использованием или без использования средств автоматизации, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение (ст. 3 Закона № 152-ФЗ).
Как было сказано выше, перед получением от пациента информации медицинская организация должна запросить у него согласие на обработку персональных данных (ст. 6, ст. 10 Закона № 152-ФЗ).
Пациент вправе полностью или частично отказаться от предоставления согласия на обработку персональных данных. Поэтому медицинской организации следует правильно подходить к виду и объему запрашиваемой информации. В обработку нужно запрашивать только те сведения, которые отвечают ее целям. Сведения не должны быть избыточными (ст. 5 Закона № 152-ФЗ).
При сборе персональных данных оператор обязан предоставить субъекту персональных данных по его просьбе следующую информацию:
– подтверждение факта обработки персональных данных;
– правовые основания и цели обработки;
– цели и применяемые способы обработки;
– наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании положений законодательства;
– обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен положениями законодательства;
– сроки обработки персональных данных, в том числе сроки их хранения;
– порядок осуществления субъектом персональных данных прав, предусмотренных Законом № 152-ФЗ;
– информацию об осуществленной или о предполагаемой трансграничной передаче персональных данных;
– наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
– иные сведения, предусмотренные Законом № 152-ФЗ или другими федеральными законами.
Согласие на обработку персональных данных может быть получено в электронной либо в письменной форме.
При этом согласие на обработку биометрических данных необходимо получить от пациента именно в письменной форме (ст. 11 Закона № 152-ФЗ), так как они представляют собой сведения, которые характеризуют физиологические и биологические особенности на основании которых можно установить личность.
Бумажный документ должен содержать следующие реквизиты (п. 4 ст. 9 Закона № 152-ФЗ):
– фамилию, имя, отчество, адрес пациента, номер основного документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе;
– Ф.И.О., адрес представителя пациента, номер основного документа, удостоверяющего его личность, сведения о дате выдачи этого документа и выдавшем его органе, реквизиты доверенности или иного документа, подтверждающего полномочия представителя пациента (при получении согласия от него);
– наименование медицинской организации;
– цель обработки персональных данных;
– перечень персональных данных, на обработку которых пациент дает согласие;
– наименование или Ф.И.О. и адрес лица, осуществляющего обработку персональных данных по поручению медицинской организации, если обработка будет поручена такому лицу;
– перечень действий с персональными данными, на совершение которых дается согласие, и общее описание используемых способов обработки персональных данных;
– срок, в течение которого действует согласие пациента, а также способ отзыва такого согласия, если иное не установлено законодательством;
– подпись пациента.
Также обратите внимание, что при заключении договора с пациентом медицинская организация обязана предоставить ему информацию о номере своей лицензии, сроке ее действия и выдавшем ее органе. Такую информацию можно включить непосредственно в договор либо прописать в нем ссылку на источник откуда можно получить информацию.
При заключении договора на сложные и дорогостоящие услуги пациенту следует предложить под роспись ознакомиться с описанием этих услуг, способами их оказания, возможными последствиями и т. д.
От пациента обязательно потребуется получить информированное добровольное согласие на медицинское вмешательство (на анестезиологическое обеспечение медицинского вмешательства, на оперативное вмешательство, в том числе переливание крови и ее компонентов, и т. д.). Его следует оформить в письменном виде – записью в истории болезни, заверенной подписью самого пациента (его законного представителя) либо его отдельной распиской или заявлением. С 1 января 2018 года согласие также можно оформить в виде электронного документа, подписанного усиленной квалифицированной или простой электронной подписью пациента (его законного представителя) и электронной подписью медицинского работника.
Если состояние пациента не позволяет ему выразить свою волю, а медицинское вмешательство неотложно, вопрос о его проведении решают консилиум или лечащий врач.
Медицинское вмешательство без информированного добровольного согласия также возможно в отношении пациентов:
– страдающих заболеваниями, представляющими опасность для окружающих;
– страдающих тяжелыми психическими расстройствами;
– совершивших общественно опасные деяния (преступления);
– направленных на судебно-медицинскую и (или) судебно-психиатрическую экспертизы.
Предоставление персональных пациента данных третьим лицам
Законодательство запрещает предоставлять третьим лицам и распространять персональные данные без согласия пациента (ст. 7 Закона № 152-ФЗ).
Под предоставлением в данном случае понимаются действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц, а под распространением — действия, направленные на раскрытие персональных данных неопределенному кругу лиц (ст. 2 Закона № 152-ФЗ).
Вместе с тем, Закон № 323-ФЗ допускает разглашение сведений, составляющих врачебную тайну, с письменного согласия пациента или его законного представителя другим гражданам, в том числе должностным лицам, в целях медицинского обследования и лечения пациента, проведения научных исследований, их опубликования в научных изданиях, использования в учебном процессе и в иных целях (п. 2 ст. 13 Закона № 323-ФЗ).
Предоставление персональных данных пациенту или его законному представителю
Медицинская организация обязана сообщить пациенту или его законному представителю информацию о наличии персональных данных и предоставить возможность для ознакомления с ними в течение 30 дней с даты получения соответствующего запроса от пациента или его представителя (ст. 14, ст. 20 Закона № 152-ФЗ).
Согласно Закону № 323-ФЗ пациент или его законный представитель имеют право на основании письменного заявления получать отражающие состояние здоровья медицинские документы, их копии и выписки из медицинских документов (п. 5 ст. 22 Закона № 323-ФЗ) в порядке утвержденном приказом Минздравсоцразвития РФ от 02.05.2012 № 441н, а также непосредственно знакомиться с медицинской документацией, отражающей состояние здоровья в порядке, утвержденном приказом Министерства здравоохранения РФ от 29.06.2016 № 425н.
Ответственность за нарушение правил работы с персональными данными
Административная ответственность за нарушения в области защиты персональных данных установлена статьей 13.11 КоАП РФ. Перечислим за что могут оштрафовать медицинскую организацию.
Обработка персональных данных в случаях, не предусмотренных законодательством РФ в области персональных данных, либо обработка персональных данных, несовместимая с целями их сбора влечет предупреждение или наложение штрафа:
– на граждан в размере от 1000 до 3000 рублей;
– на должностных лиц – от 5000 до 10 000 рублей;
– на юридических лиц – от 30 000 до 50 000 рублей.
Обработка персональных данных без согласия в письменной форме в случаях, когда оно должно быть получено в соответствии с законодательством РФ в области персональных данных (если эти действия не содержат уголовно наказуемого деяния), либо обработка персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме влечет:
– наложение административного штрафа на граждан в размере от 3000 до 5000 рублей;
– на должностных лиц – от 10 000 до 20 000 рублей;
– на юридических лиц – от 15 000 до 75 000 рублей.
Невыполнение предусмотренной законодательством РФ в области персональных данных обязанности по предоставлению субъекту персональных данных информации, касающейся их обработки, влечет предупреждение или наложение штрафа:
– на граждан в размере от 1000 до 2000 рублей;
– на должностных лиц – от 4000 до 6000 рублей;
– на юридических лиц – от 20 000 до 40 000 рублей.
Несоблюдение сроков выполнения требований по защите прав субъектов персональных данных об их уточнении, блокировании или уничтожении, когда данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, влечет предупреждение или наложение административного штрафа:
– на граждан в размере от 1000 до 2000 рублей;
– на должностных лиц – от 4000 до 10 000 рублей;
– на юридических лиц – от 25 000 до 45 000 рублей.
Невыполнение требований по сохранности персональных данных при их обработке без использования средств автоматизации, если это повлекло неправомерный или случайный доступ к данным, их уничтожение, изменение, блокирование, копирование, предоставление, распространение либо иные неправомерные действия в отношении данных, при отсутствии признаков уголовно наказуемого деяния влечет наложение штрафа:
– на граждан в размере от 700 до 2000 рублей;
– на должностных лиц – от 4000 до 10 000 рублей;
– на юридических лиц – от 25 000 до 50 000 рублей.
Невыполнение оператором, являющимся государственным или муниципальным органом, обязанности по обезличиванию персональных данных либо несоблюдение установленных для этого требований или методов влечет предупреждение или наложение штрафа на должностных лиц в размере от 3000 до 6000 рублей.
Уголовная ответственность предусмотрена за следующие правонарушения.
Незаконное собирание или распространение с использованием служебного положения сведений о частной жизни лица, составляющих его личную или семейную тайну, без его согласия либо распространение этих сведений в публичном выступлении, публично демонстрирующемся произведении или СМИ может повлечь (ст. 137 УК РФ):
– штраф в размере от 100 000 до 300 000 рублей;
– лишение права занимать определенные должности на срок от двух до пяти лет;
– принудительные работы на срок до четырех лет (с лишением права занимать определенные должности на срок до пяти лет или без такового);
– арест на срок до шести месяцев;
– лишение свободы на срок до четырех лет (с лишением права занимать определенные должности на срок до пяти лет).
За неправомерный отказ должностного лица в предоставлении документов и материалов, непосредственно затрагивающих права и свободы пациента, либо предоставление ему неполной или заведомо ложной информации, если это причинило вред правам и законным интересам пациента медицинской организации грозит (ст. 140 УК РФ):
– штраф до 200 000 рублей;
– лишение права занимать определенные должности на срок от двух до пяти лет.
Неправомерный доступ к охраняемой законом компьютерной информации, если это повлекло ее уничтожение, блокирование, модификацию либо копирование предусматривает:
– штраф до 200 000 рублей;
– исправительные работы на срок до одного года;
– ограничение свободы на срок до двух лет;
– принудительные работы на срок до двух лет;
– лишение свободы на тот же срок.
Кроме того, медицинскую организацию могут привлечь к гражданско-правовой ответственности за причинение пациенту морального вреда (нравственных страданий) вследствие нарушения правил обработки персональных данных (ст. 24 Закона № 152-ФЗ; ст. 151 ГК РФ). Ответственность предусматривает компенсацию морального вреда (независимо от возмещения имущественного вреда и понесенных субъектом убытков).
Также читайте:
Свежие новости цифровой экономики на нашем канале в Телеграм