Защита персональных данных
в медицинских организациях
Последнее время значительно вырос интерес к правовой защите частной жизни. Это связано с развитием общественных отношений, технологическим прогрессом в технологии, ростом научных достижений. Стремительная информатизация социума, переход к повсеместному использованию компьютеризированных баз данных делают важными вопросы обеспечения правовой защиты информации о частной жизни человека. Характер нашей медицинской деятельности связан с использованием большого количества персональных данных о пациенте. Какими нормативно-правовыми актами, регламентируются требования к организации обработки персональных данных в медицинских организациях? Прежде всего это:
- Основы законодательства Российской Федерации об охране здоровья граждан (далее – Основы);
- Федеральный закон от 27.07.2006 № 149-ФЗ “Об информации, информационных технологиях и о защите информации”;
- Федеральный закон от 27.07.2006 № 152-ФЗ “О персональных данных” (далее – Закон № 152-ФЗ);
- Указ Президента РФ от 06.03.1997 № 188 “Об утверждении перечня сведений конфиденциального характера” (с изм. и доп.);
- Постановление Правительства Российской Федерации от 01.11.2012 № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»
Категории персональных данных.
В соответствии с Законом № 152-ФЗ персональными данными является любая информация, связанная с физическим лицом (субъектом персональных данных), позволяющая идентифицировать конкретное физическое лицо среди прочих лиц. В персональных данных физического лица выделяют общие и специальные категории
Обработкой персональных данных является любое из следующих действий:
- сбор,
- систематизация,
- накопление,
- хранение,
- уточнение (обновление, изменение),
- использование,
- распространение (в т. ч. передача),
- обезличивание,
- блокирование,
- уничтожение персональных данных.
Для обработки персональных данных, относимых к общим категориям, обязательно наличие согласия на это субъекта персональных данных.
При отсутствии согласия субъекта обработка общих категорий персональных данных допускается в случае, если:
- обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
- обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах;
- обработка персональных данных необходима для исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве;
- обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года N 210-ФЗ "Об организации предоставления государственных и муниципальных услуг";
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
- обработка персональных данных осуществляется в статистических или иных научных целях при условии обязательного обезличивания персональных данных;
- обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 года N 8-ФЗ "О Всероссийской переписи населения";
В отношении специальных категорий персональных данных ситуация обстоит несколько сложнее. В соответствии с Законом № 152-ФЗ обработка специальных категорий допускается в случае, если:
- обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии;
- обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 года N 8-ФЗ "О Всероссийской переписи населения";
- обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, пенсионным законодательством Российской Федерации;
- обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно;
- обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну;
- обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
- обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия;
- обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-разыскной деятельности, об исполнительном производстве, уголовно-исполнительным законодательством Российской Федерации;
- обработка полученных в установленных законодательством Российской Федерации случаях персональных данных осуществляется органами прокуратуры в связи с осуществлением ими прокурорского надзора;
- обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством;
- обработка персональных данных, касающихся состояния здоровья, полученных в результате обезличивания персональных данных, допускается в целях повышения эффективности государственного или муниципального управления, а также в иных целях, предусмотренных Федеральным законом от 24 апреля 2020 года N 123-ФЗ "О проведении эксперимента по установлению специального регулирования в целях создания необходимых условий для разработки и внедрения технологий искусственного интеллекта в субъекте Российской Федерации - городе федерального значения Москве и внесении изменений в статьи 6 и 10 Федерального закона "О персональных данных" и Федеральным законом от 31 июля 2020 года N 258-ФЗ "Об экспериментальных правовых режимах в сфере цифровых инноваций в Российской Федерации", в порядке и на условиях, которые предусмотрены указанными федеральными законами.