🚩 Внимание! Просим Вас обращать внимание на дату выхода публикации, в связи с изменениями в законодательстве представленный материал может утратить актуальность частично или полностью в более поздние даты.
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
При этом в обработку персональных данных входит любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Медицинские организации являются операторами, осуществляющими обработку персональных данных.
Давайте разбираться, какую категорию персональных данных пациента обрабатывает медицинская организации и как быть, если от пациента поступило требование прекратить обработку его персональных данных и уничтожить всю документацию, содержащую данные.
✅ В соответствии со ст.10 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ № 152) в СПЕЦИАЛЬНЫЕ КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ ВХОДИТ обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, СОСТОЯНИЯ ЗДОРОВЬЯ, интимной жизни, не допускается, за исключением случаев, предусмотренных частями 2 и 2.1 настоящей статьи.
Таким образом информация о состоянии здоровья относятся к специальной категории персональных данных.
Что относится к информации о состоянии здоровья?
✅ Согласно ст. 22 Федерального закона от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» к информации о состоянии своего здоровья относятся, в том числе сведения о результатах медицинского обследования, наличии заболевания, об установленном диагнозе и о прогнозе развития заболевания, методах оказания медицинской помощи, связанном с ними риске, возможных видах медицинского вмешательства, его последствиях и результатах оказания медицинской помощи.
В то же время в обязанности оператора входит: в случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), ЗА ИСКЛЮЧЕНИЕМ СЛУЧАЕВ, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 ФЗ № 152 ч. 5.1. ст. 21 ФЗ № 152).
✅ К данным исключениям относится ОБРАБОТКА СПЕЦИАЛЬНЫХ КАТЕГОРИЙ ПЕРСОНАЛЬНЫХ ДАННЫХ В МЕДИКО-ПРОФИЛАКТИЧЕСКИХ ЦЕЛЯХ, в целях установления медицинского диагноза, ОКАЗАНИЯ МЕДИЦИНСКИХ и медико-социальных УСЛУГ при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну (п.4 ч.2. ст.10 ФЗ № 152).
Также важно понимать, что в обязанности медицинской организации входит обеспечение учета и хранения медицинской документации, в том числе бланков строгой отчетности (п.12. ст.79 Федерального закона от 21.11.2011 № 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации"
✅ Согласно Письму Минздрава России от 07.12.2015 № 13-2/1538 "О сроках хранения медицинской документации" срок хранения медицинская карты пациента, получающего медицинскую помощь в амбулаторных условиях, составляет 25 лет.
ТАКИМ ОБРАЗОМ, У МЕДИЦИНСКОЙ ОРГАНИЗАЦИИ НЕТ ОБЯЗАННОСТИ И ПРАВА ПРЕКРАТИТЬ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕНТА И ПРАВА УНИЧТОЖИТЬ МЕДИЦИНСКУЮ ДОКУМЕНТАЦИЮ, СОДЕРЖАЩУЮ ПЕРСОНАЛЬНЫЕ ДАННЫЕ, ДАЖЕ ПРИ ПОСТУПЛЕНИИ ТРЕБОВАНИЯ ПАЦИЕНТА.
Также данный вывод подтвержден Определением Конституционного Суда РФ от 16.07.2013 № 1176-О, согласно которому медицинская организация хранит информацию о состоянии здоровья граждан исключительно в целях реализации их права на охрану здоровья и медицинскую помощь, при этом конфиденциальность персональных данных обеспечивается врачебной тайной.
При этом медицинской организации необходимо понимать состав персональных данных, которые она обрабатывает.
✅ Так Приказом Минздрава России от 15.12.2014 № 834н «Об утверждении унифицированных форм медицинской документации, используемых в медицинских организациях, оказывающих медицинскую помощь в амбулаторных условиях, и порядков по их заполнению» утверждена форма медицинская карты пациента, получающего медицинскую помощь в амбулаторных условиях и порядок ее заполнения.
В данные, которые вносятся в медицинскую карту входит:
Таким образом, если медицинская организация обрабатывает персональные данные пациента сверх объема указанных данных в медицинской карте, например номер телефона, электронная почта, фото-видеоизображение пациента то согласно ч. 5.1 ст. 21 ФЗ № 152 оператор обязан уничтожить персональные данные субъекта (или обеспечить их уничтожение) при обращении субъекта персональных данных с требованием о прекращении обработки персональных данных - в срок не более 10 рабочих дней со дня получения такого требования, за исключением отдельных случаев. Данный срок может быть продлен, но не более чем на 5 рабочих дней.
Персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
При этом в обработку персональных данных входит любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Медицинские организации являются операторами, осуществляющими обработку персональных данных.
Давайте разбираться, какую категорию персональных данных пациента обрабатывает медицинская организации и как быть, если от пациента поступило требование прекратить обработку его персональных данных и уничтожить всю документацию, содержащую данные.
✅ В соответствии со ст.10 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – ФЗ № 152) в СПЕЦИАЛЬНЫЕ КАТЕГОРИИ ПЕРСОНАЛЬНЫХ ДАННЫХ ВХОДИТ обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, СОСТОЯНИЯ ЗДОРОВЬЯ, интимной жизни, не допускается, за исключением случаев, предусмотренных частями 2 и 2.1 настоящей статьи.
Таким образом информация о состоянии здоровья относятся к специальной категории персональных данных.
Что относится к информации о состоянии здоровья?
✅ Согласно ст. 22 Федерального закона от 21 ноября 2011 г. № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации» к информации о состоянии своего здоровья относятся, в том числе сведения о результатах медицинского обследования, наличии заболевания, об установленном диагнозе и о прогнозе развития заболевания, методах оказания медицинской помощи, связанном с ними риске, возможных видах медицинского вмешательства, его последствиях и результатах оказания медицинской помощи.
В то же время в обязанности оператора входит: в случае обращения субъекта персональных данных к оператору с требованием о прекращении обработки персональных данных оператор обязан в срок, не превышающий десяти рабочих дней с даты получения оператором соответствующего требования, прекратить их обработку или обеспечить прекращение такой обработки (если такая обработка осуществляется лицом, осуществляющим обработку персональных данных), ЗА ИСКЛЮЧЕНИЕМ СЛУЧАЕВ, предусмотренных пунктами 2 - 11 части 1 статьи 6, частью 2 статьи 10 и частью 2 статьи 11 ФЗ № 152 ч. 5.1. ст. 21 ФЗ № 152).
✅ К данным исключениям относится ОБРАБОТКА СПЕЦИАЛЬНЫХ КАТЕГОРИЙ ПЕРСОНАЛЬНЫХ ДАННЫХ В МЕДИКО-ПРОФИЛАКТИЧЕСКИХ ЦЕЛЯХ, в целях установления медицинского диагноза, ОКАЗАНИЯ МЕДИЦИНСКИХ и медико-социальных УСЛУГ при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну (п.4 ч.2. ст.10 ФЗ № 152).
Также важно понимать, что в обязанности медицинской организации входит обеспечение учета и хранения медицинской документации, в том числе бланков строгой отчетности (п.12. ст.79 Федерального закона от 21.11.2011 № 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации"
✅ Согласно Письму Минздрава России от 07.12.2015 № 13-2/1538 "О сроках хранения медицинской документации" срок хранения медицинская карты пациента, получающего медицинскую помощь в амбулаторных условиях, составляет 25 лет.
ТАКИМ ОБРАЗОМ, У МЕДИЦИНСКОЙ ОРГАНИЗАЦИИ НЕТ ОБЯЗАННОСТИ И ПРАВА ПРЕКРАТИТЬ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ ПАЦИЕНТА И ПРАВА УНИЧТОЖИТЬ МЕДИЦИНСКУЮ ДОКУМЕНТАЦИЮ, СОДЕРЖАЩУЮ ПЕРСОНАЛЬНЫЕ ДАННЫЕ, ДАЖЕ ПРИ ПОСТУПЛЕНИИ ТРЕБОВАНИЯ ПАЦИЕНТА.
Также данный вывод подтвержден Определением Конституционного Суда РФ от 16.07.2013 № 1176-О, согласно которому медицинская организация хранит информацию о состоянии здоровья граждан исключительно в целях реализации их права на охрану здоровья и медицинскую помощь, при этом конфиденциальность персональных данных обеспечивается врачебной тайной.
При этом медицинской организации необходимо понимать состав персональных данных, которые она обрабатывает.
✅ Так Приказом Минздрава России от 15.12.2014 № 834н «Об утверждении унифицированных форм медицинской документации, используемых в медицинских организациях, оказывающих медицинскую помощь в амбулаторных условиях, и порядков по их заполнению» утверждена форма медицинская карты пациента, получающего медицинскую помощь в амбулаторных условиях и порядок ее заполнения.
В данные, которые вносятся в медицинскую карту входит:
- фамилия имя отчество пациента;
- пол;
- дата рождения;
- место регистрации;
- документ, удостоверяющий личность;
- серия и номер страхового полиса обязательного медицинского страхования;
- страховой номер индивидуального лицевого счета (СНИЛС);
- семейное положение (запись производится на основании сведений, содержащихся в документе, удостоверяющем личность пациента);
- образование (заполняется со слов пациента);
- занятость (заполняется со слов пациента или родственников);
- группа крови и резус-фактор;
- записи врачей-специалистов о состоянии здоровья пациента.
Таким образом, если медицинская организация обрабатывает персональные данные пациента сверх объема указанных данных в медицинской карте, например номер телефона, электронная почта, фото-видеоизображение пациента то согласно ч. 5.1 ст. 21 ФЗ № 152 оператор обязан уничтожить персональные данные субъекта (или обеспечить их уничтожение) при обращении субъекта персональных данных с требованием о прекращении обработки персональных данных - в срок не более 10 рабочих дней со дня получения такого требования, за исключением отдельных случаев. Данный срок может быть продлен, но не более чем на 5 рабочих дней.
