Лечебное учреждение берет с пациентов согласие на хранение, обработку и передачу персональных данных. Оно подшивается в медицинскую карту. По нормам Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" персональные данные субъекта могут быть отозваны по его письменному заявлению. Однако согласно нормам хранения медицинской документации, в которую вносятся персональные данные, она хранится в регистратуре 5 лет.
Пациент, отзывая согласие на обработку своих персональных данных, требует уничтожить медицинскую карту.
Обязана ли медицинская организация исполнить данное требование пациента? Как в таком случае взаимодействовать, например, со страховыми медицинскими организациями в сфере обязательного медицинского страхования?
1. В соответствии со ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) персональными данными (далее - ПДн) является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПДн). Любые действия (операции) с ПДн, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение ПДн признаются обработкой ПДн (п. 3 ч. 1 ст. 3 Закона N 152-ФЗ).
Согласно ст. 6, ст. 9 Закона N 152-ФЗ по общему правилу обработка ПДн допускается только с согласия субъектов ПДн, за исключением случаев, перечисленных в п.п. 2-11 ч. 1 ст. 6 Закона N 152-ФЗ. В частности, обработка ПДн без согласия субъектов ПДн допускается, если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ).
Однако в силу ч. 2 ст. 6 Закона N 152-ФЗ обработка специальных категорий ПДн (в частности сведений, касающихся состояния здоровья) регулируется специальными правилами ст. 10 Закона N 152-ФЗ. Подобные сведения могут обрабатываться без согласия субъектов ПДн только в случаях, предусмотренных п.п. 2-9 ч. 2 ст. 10 Закона N 152-ФЗ. К таковым относится в том числе ситуация, когда обработка ПДн осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну (п. 4 ч. 2 ст. 10 Закона N 152-ФЗ).
Отметим, что на основании ст. 13 Федерального закона от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" (далее - Закон N 323-ФЗ) сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну. Врачебная тайна в соответствии с Указом Президента РФ от 06.03.1997 N 188 включена в перечень сведений конфиденциального характера. Соответственно, медицинская организация обязана соблюдать как врачебную тайну, так и требования о защите ПДн, в том числе при создании локальных информационных систем, содержащих данные о пациентах и об оказываемых им медицинских услугах (п. 5 ст. 78 Закона N 323-ФЗ). При этом федеральным законодателем предусмотрен ряд исключений из общего правила о недопустимости разглашения сведений, составляющих врачебную тайну. В частности, предоставление данных сведений без согласия гражданина допускается для осуществления контроля качества и безопасности медицинской деятельности (п. 10 ч. 4 ст. 13 Закона N 323-ФЗ).
Медицинская карта амбулаторного больного, согласно Инструкции по заполнению учетной формы N 025/у-04 "Медицинская карта амбулаторного больного", утвержденной приказом Минздравсоцразвития России от 22.11.2004 N 255 "О Порядке оказания первичной медико-санитарной помощи гражданам, имеющим право на получение набора социальных услуг" (далее - Инструкция), является основным первичным медицинским документом больного, проходящего лечение амбулаторно или на дому, и заполняется на каждого пациента при первом обращении за медицинской помощью в лечебное учреждение. В ней содержатся ПДн пациента, а также информация об обращении пациента за медицинской помощью, о состоянии его здоровья, методах лечения и т.д. Иными словами, медицинская карта служит документальным подтверждением проводимых лечебно-диагностических мероприятий, документирует организацию медицинской помощи пациенту, взаимодействие лечащего врача с другими специалистами и службами. Вся клиническая информация о больном должна быть включена в медицинскую карту детализировано согласно Инструкции. При этом медицинская карта служит для защиты прав как самого пациента, так и медицинской организации в целом.
Сведения, содержащиеся в медицинской карте, необходимы для составления отчетности по всем видам и формам, которые установлены для медицинских организаций и которую они обязаны предоставлять в сроки и в объеме, определенные уполномоченным федеральным органом исполнительной власти (п. 11 ч. 1 ст. 79 Закона N 323-ФЗ). В этих целях медицинские организации обязаны обеспечивать ведение, учет и хранение медицинской документации (п. 12 ч. 1 ст. 79 Закона N 323-ФЗ, п. 30 Правил предоставления медицинскими организациями платных медицинских услуг, утвержденных постановлением Правительства РФ от 04.10.2012 N 1006), а приказом Минздрава СССР от 04.10.1980 N 1030 утверждены сроки хранения первичной медицинской документации учреждений здравоохранения. То есть обязанность ведения, учета и хранения медицинских карт с соблюдением мероприятий по обеспечению конфиденциальности, содержащейся в них информации, возложена на медицинские организации федеральным законодательством. А потому, на наш взгляд, уничтожение медицинской карты до истечения утвержденных сроков хранения недопустимо, даже если этого требует пациент. За пределами этого срока, если гражданин настаивает на уничтожении его ПДн и если их сохранение более не требуется для целей обработки ПДн*(1), они должны быть уничтожены и оператор обязан прекратить их обработку (ч. 2 ст. 9 Закона N 152-ФЗ). К такому выводу, в частности, пришел Ленинский районный суд г. Самары, обязав медицинскую организацию прекратить обработку ПДн пациента и уничтожить все имеющиеся в электронном виде его ПДн (решение Ленинского районного суда г. Самары от 15.07.2013 по делу N 2-3232/2013, с которым можно ознакомиться перейдя по ссылке: http://sudact.ru/regular/doc/nfQ6gmuxzwg4/?regular-txt). Аналогичные выводы содержатся в определении СК по гражданским делам Самарского областного суда от 05.04.2012 по делу N 33-3152/2012.
Заметим, что речь в приведенной о тех сведениях, при помощи которых можно идентифицировать конкретного человека, его ПДн. По смыслу п. 8 ч. 1 ст. 3 Закона N 152-ФЗ, уничтожение ПДн необязательно требует уничтожения материального носителя - самой медицинской карты. По нашему мнению, достаточно лишь удалить (вымарать) из нее сведения, позволяющие идентифицировать субъекта ПДн, или обезличить её. Полагаем, что в таком виде сведения о состоянии здоровья пациентов могут и далее обрабатываться, например, в статистических, научно-исследовательских целях и т.п. (п. 9 ч. 1 ст. 6 Закона N 152-ФЗ).
Кроме того, в ч. 2 ст. 9 Закона N 152-ФЗ специально оговаривается, что оператор вправе продолжить обработку ПДн без согласия субъекта ПДн в случае отзыва им согласия на их обработку при наличии оснований, указанных в пп. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 данного закона. В частности, это возможно, как уже отмечалось, когда обработка ПДн необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ). На основании приведенных норм можно заключить, если пациент отзывает согласие на обработку своих ПДн, лечебное учреждение может продолжать обработку его ПДн вплоть до окончания действия заключенного ими договора оказания медицинских услуг с соблюдением режима конфиденциальности такой информации. Причем срок действия договора связан со сроком существования правоотношения, возникшего между исполнителем медицинских услуг и их потребителем. Временные границы этого правоотношения в момент заключения договора точно установить невозможно, поскольку они определяются сроками исполнения договорных обязательств, в которые включаются обязанности по устранению недостатков оказанных услуг, в том числе и в пределах гарантийного срока, возмещению причиненного вреда потребителю и т.п. Поэтому, пока существуют потенциальные обязательства исполнителя медицинских услуг, полагаем, он вправе обрабатывать ПДн заказчиков (в частности хранить их) и без согласия последних.
На этом основании, по нашему мнению, медицинская организация должна письменно уведомить пациента, который отозвал свое согласие на обработку его ПДн, о невозможности совершения подобных действий до достижения конечной цели такой обработки.
2. Пунктом 9 ч. 4 ст. 13 Закона N 323-ФЗ предусмотрена возможность передачи сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя также в целях осуществления учета и контроля в системе обязательного социального страхования.
Обязательное медицинское страхование (ОМС), в силу п. 1 ч. 1 ст. 3 Федерального закона от 29.11.2010 N 326-ФЗ "Об обязательном медицинском страховании в Российской Федерации" (далее - Закон N 326-ФЗ), представляет собой особый вид обязательного социального страхования, включающий систему создаваемых государством правовых, экономических и организационных мер, направленных на обеспечение при наступлении страхового случая гарантий бесплатного оказания застрахованному лицу медицинской помощи за счет средств обязательного медицинского страхования в пределах территориальной программы обязательного медицинского страхования и в установленных Законом N 326-ФЗ случаях в пределах базовой программы обязательного медицинского страхования.
Гражданам РФ гарантируются предоставление бесплатной медицинской и лекарственной помощи и ее оплата через систему ОМС. При этом в сфере ОМС ведется персонифицированный учет сведений о застрахованных лицах и персонифицированный учет сведений о медицинской помощи, оказанной застрахованным лицам (ч. 1 ст. 43 Закона N 326-ФЗ). Персонифицированный учет, сбор, обработка, передача и хранение сведений осуществляются Федеральным фондом и территориальными фондами, Пенсионным фондом Российской Федерации и его территориальными органами, страховыми медицинскими организациями, медицинскими организациями и страхователями для неработающих граждан в соответствии с полномочиями, предусмотренными настоящим Федеральным законом (ч. 3 ст. 43 Закона N 326-ФЗ). Соответственно, на медицинские организации возлагается обязанность, наряду с другими, предоставлять страховым медицинским организациям и территориальному фонду сведения о застрахованном лице и об оказанной ему медицинской помощи, необходимые для проведения контроля объемов, сроков, качества и условий предоставления медицинской помощи*(1) (п. 3 ч. 2 ст. 20 Закона N 326-ФЗ). Источником же этих данных, в первую очередь, является медицинская карта амбулаторного больного (ч. 1 ст. 91 Закона N 323-ФЗ), что опять же свидетельствует о невозможности уничтожения этого документа.
Таким образом, обработка персональных данных пациента, осуществляемая в целях исполнения норм законодательства об обязательном медицинском страховании, допустима и в отсутствие согласия самого субъекта, но в том объеме, в котором это установлено Законом N 326-ФЗ. При этом сведения о застрахованном лице и об оказанной ему медицинской помощи могут предоставляться в виде документов как в письменной форме, так и в электронной форме при наличии гарантии их достоверности (подлинности), защиты от несанкционированного доступа и искажений. В этом случае юридическая сила представленных документов подтверждается усиленной квалифицированной электронной подписью в соответствии с законодательством Российской Федерации. Решение о возможности предоставления информации в электронной форме принимается совместно участниками информационного обмена (ч. 5 ст. 44 Закона N 326-ФЗ).*(2)
Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Амирова Лариса
Ответ прошел контроль качества
7 августа 2014 г.
-------------------------------------------------------------------------
*(1) Заметим, если срок хранения ПДн не установлен договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект ПДн, то хранение ПДн должно осуществляться не дольше, чем этого требуют цели обработки персональных данных (ч. 7 ст. 5 Закона N 152-ФЗ). При этом цель обработки определяется самим оператором (п. 2 ст. 3 Закона N 152-ФЗ).
*(2) Порядок информационного взаимодействия при осуществлении информационного сопровождения застрахованных лиц при организации оказания им медицинской помощи страховыми медицинскими организациями в сфере обязательного медицинского страхования утвержден приказом ФОМС от 20.12.2013 N 263.
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Правовой консалтинг является уникальной услугой индивидуального консультирования по правовым вопросам, которая предоставляется пользователям непосредственно во время работы с системой ГАРАНТ.
Основные преимущества услуги Правового консалтинга:
Удобство использования - в любой момент при работе с системой ГАРАНТ можно обратиться за персональной консультацией и получить ответ на интересующий вопрос, ответы хранятся в системе ГАРАНТ и содержат гиперссылки на дополнительные тематические материалы, содержащиеся в системе.
Гарантия качества - служба Правового консалтинга состоит из квалифицированных экспертов в области бухгалтерского учета и налогообложения, трудового и гражданского права в сфере регулирования предпринимательской деятельности. Все ответы проходят обязательную дополнительную централизованную экспертизу рецензентами службы Правового консалтинга.
Оперативность - срок ответа на вопросы пользователя, принятые к рассмотрению, составляет два дня.
Для того чтобы воспользоваться услугой Правового консалтинга, выберите в основном меню системы ГАРАНТ раздел "Правовая поддержка" (или используйте сочетание клавиш Alt + F1) и в открывшемся окне введите свой вопрос.
Более подробную информацию о данной услуге Вы можете получить, обратившись к Разделу "Правовая поддержка" Руководства пользователя (клавиша F1) или у Вашего специалиста по обслуживанию.