Защита персональных данных
в медицинских организациях

Последнее время значительно вырос интерес к правовой защите частной жизни. Это связано с развитием общественных отношений, технологическим прогрессом в технологии, ростом научных достижений. Стремительная информатизация социума, переход к повсеместному использованию компьютеризированных баз данных делают важными вопросы обеспечения правовой защиты информации о частной жизни человека. Характер нашей медицинской деятельности связан с использованием большого количества персональных данных о пациенте. Какими нормативно-правовыми актами, регламентируются требования к организации обработки персональных данных в медицинских организациях? Прежде всего это:

1. Основы законодательства Российской Федерации об охране здоровья граждан (далее – Основы);
2. Федеральный закон от 27.07.2006 № 149-ФЗ “Об информации, информационных технологиях и о защите информации”;
3. Федеральный закон от 27.07.2006 № 152-ФЗ “О персональных данных” (далее – Закон № 152-ФЗ);
4. Указ Президента РФ от 06.03.1997 № 188 “Об утверждении перечня сведений конфиденциального характера” (с изм. и доп.);
5. постановление Правительства РФ от 17.11.2007 № 781 “Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных”.

Вопрос защиты конфиденциальной информации в сфере мед. деятельности отрегулирован, в основном, двумя из вышеперечисленных актов:

• права пациента, связанные с информацией и конфиденциальностью, изложены в ст. 31 и 61 Основ, а Законом № 152-ФЗ регламентируются отношения, возникающие в связи с обработкой персональных данных с использованием средств автоматизации применительно к деятельности медицинских организаций.

Категории персональных данных.

В соответствии с Законом № 152-ФЗ персональными данными является любая информация, связанная с физическим лицом (субъектом персональных данных), позволяющая идентифицировать конкретное физическое лицо среди прочих лиц. В персональных данных физического лица выделяют общие и специальные категории

Обработкой персональных данных является любое из следующих действий:

• сбор,
• систематизация,
• накопление,
• хранение,
• уточнение (обновление, изменение),
• использование,
• распространение (в т. ч. передача),
• обезличивание,
• блокирование,
• уничтожение персональных данных.

Для обработки персональных данных, относимых к общим категориям, обязательно наличие согласия на это субъекта персональных данных.

При отсутствии согласия субъекта обработка общих категорий персональных данных допускается в случае, если:

• она осуществляется на основании и во исполнение федерального закона, устанавливающего ее цель, условия получения персональных данных и круг субъектов, персональные данные которых подлежат обработке, а также определяющего полномочия оператора, т. е. правовым основанием для такой обработки всегда должен являться федеральный закон;
• обработка персональных данных осуществляется в целях исполнения договора, одной из сторон которого является субъект персональных данных, т. е. в качестве основания для обработки выступает договор, заключенный между субъектом персональных данных и оператором, который косвенно (но не прямо! – если такого положения не содержится в условиях заключенного договора) подтверждает согласие субъекта на обработку таких данных;
• обработка персональных данных осуществляется в статистических или иных научных целях при условии обязательного обезличивания персональных данных;
• обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно (в обмороке, без сознания);
• обработка персональных данных необходима для доставки почтовых отправлений организациями почтовой связи, для осуществления операторами электросвязи расчетов с пользователями услуг связи за оказанные услуги связи, а также для рассмотрения претензий пользователей услуг связи;
• обработка персональных данных осуществляется в целях профессиональной деятельности журналиста либо в целях научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и свободы субъекта персональных данных;
• осуществляется обработка персональных данных, подлежащих опубликованию в соответствии с федеральными законами, в т. ч. персональных данных лиц, замещающих государственные должности, должности государственной гражданской службы, персональных данных кандидатов на выборные государственные или муниципальные должности.

В отношении специальных категорий персональных данных ситуация обстоит несколько сложнее. В соответствии с Законом № 152-ФЗ обработка специальных категорий допускается в случае, если:

• субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных. В данном условии и заключается коллизия: согласия субъекта достаточно как для обработки общих персональных данных, так и для обработки специальных персональных данных;
• персональные данные являются общедоступными;
• персональные данные относятся к состоянию здоровья субъекта персональных данных, и их обработка необходима для защиты его жизни, здоровья или иных жизненно важных интересов либо жизни, здоровья или иных жизненно важных интересов других лиц, и получение согласия субъекта персональных данных невозможно;
• обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка данных производится лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну;
• обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующим общественным объединением или религиозной организацией, действующими в соответствии с законодательством РФ, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных;
• обработка персональных данных необходима в связи с осуществлением правосудия (запрос из суда, прокуратуры);
• обработка персональных данных осуществляется в соответствии с законодательством РФ 6. о безопасности, оперативно-розыскной деятельности, а также в соответствии с уголовно-исполнительным законодательством РФ.

Перечень документов в сфере защиты прав субъектов персональных данных

1. Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных»

2. Приказ «Об утверждении политики ГАУЗ «Великолукская СП» в отношении обработки и защиты персональных данных»

3. Положение об обработке персональных данных работников ГАУЗ «Великолукская СП»

4. Положение об организации работы с персональными данными пациентов в ГАУЗ «Великолукская СП»

5. Правила обработки персональных данных в ГАУЗ «Великолукская СП»