Вопрос: У нас в медицинском учреждении используется следующий порядок действий: Страховая компания заранее присылает нам по электронной почте списки своих застрахованных. Списки обрабатываются оператором и импортируются в МИС. По факту визита пациента (а пациент может придет, а может и нет) в его электронную медицинскую карту (ЭМК) вносятся недостающие данные (N карты и т.д.). В законе говорится о документе под названием "Согласие на обработку персональных данных", который мы должны брать с каждого пациента. Получается мы не имеем права импортировать данные в МИС не имея такого разрешения? Что делать в такой ситуации? ("Врач и информационные технологии", N 5, сентябрь-октябрь 2010 г.)

У нас в медицинском учреждении используется следующий порядок действий:

1. Страховая компания заранее присылает нам по электронной почте списки своих застрахованных с указанием ФИО, даты рождения, номера полиса, места работы, сроков прикрепления и программы прикрепления к нашей поликлинике.

2. Списки обрабатываются оператором и импортируются в МИС.

3. По факту визита пациента (а пациент может придет, а может и нет) в его электронную медицинскую карту (ЭМК) вносятся недостающие данные (N карты и т.д.).

В законе говорится о документе под названием "Согласие на обработку персональных данных", который мы должны брать с каждого пациента. Получается мы не имеем права импортировать данные в МИС не имея такого разрешения? Что делать в такой ситуации?

В соответствии с пунктом 3 статьи 18 закона "О персональных данных" от 27.07.2006 г. N 152-ФЗ (далее - Закон), если персональные данные (ПДн) были получены не от субъекта ПДн (пациента), то оператор (в данном случае - медицинская организация) до начала обработки ПДн обязан предоставить (то есть сообщить) пациенту следующую информацию:

- наименование и адрес оператора, от которого получены ПДн;

- цель и правовое основание обработки ПДн;

- предполагаемых пользователей ПДн;

- права субъекта ПДн в соответствии с Законом (основные из них изложены в ст.ст. 14-18, 20 Закона).

Кроме того, в данном случае в соответствии со ст.ст. 6, 9 и 10 Закона оператор (медицинская организация) должен получить письменное согласие пациента на обработку его персональных данных (в Законе говорится не о "разрешении", а о "согласии"). Следует отметить, что документированное согласие пациента на передачу кому-либо сведений, составляющих врачебную тайну, даже внутри одного медицинского учреждения необходимо в соответствии с требованиями ст. 61 "Основ законодательства Российской Федерации об охране здоровья граждан" от 22.07.1993 г. N 5487-1 (далее - Основы). Вот, что сказано в этой статье:

"Статья 61. Врачебная тайна

Информация о факте обращения за медицинской помощью, состоянии здоровья гражданина, диагнозе его заболевания и иные сведения, полученные при его обследовании и лечении, составляют врачебную тайну. Гражданину должна быть подтверждена гарантия конфиденциальности передаваемых им сведений.

Не допускается разглашение сведений, составляющих врачебную тайну лицами, которым они стали известны при обучении, исполнении профессиональных, служебных и иных обязанностей, кроме случаев, установленных частями третьей и четвертой настоящей статьи.

С согласия гражданина или его законного представителя допускается передача сведений, составляющих врачебную тайну, другим гражданам, в том числе должностным лицам, в интересах обследования и лечения пациента, для проведения научных исследований, публикации в научной литературе, использования этих сведений в учебном процессе и в иных целях.

Предоставление сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя допускается:

1) в целях обследования и лечения гражданина, не способного из-за своего состояния выразить свою волю;

2) при угрозе распространения инфекционных заболеваний, массовых отравлений и поражений;

3) по запросу органов дознания и следствия и суда в связи с проведением расследования или судебным разбирательством;

4) в случае оказания помощи несовершеннолетнему в возрасте, установленном частью второй статьи 24 настоящих Основ (до 15 лет - прим. А.С.), для информирования его родителей или законных представителей;

5) при наличии оснований, позволяющих полагать, что вред здоровью гражданина причинен в результате противоправных действий.

6) в целях проведения военно-врачебной экспертизы в порядке, установленном положением о военно-врачебной экспертизе, утверждаемым уполномоченным федеральным органом исполнительной власти.

Лица, которым в установленном законом порядке переданы сведения, составляющие врачебную тайну, наравне с медицинскими и фармацевтическими работниками с учетом причиненного гражданину ущерба несут за разглашение врачебной тайны дисциплинарную, административную или уголовную ответственность в соответствии с законодательством Российской Федерации, законодательством субъектов Российской Федерации."

В части 5-ой ст. 31 Основ также сказано "Информация, содержащаяся в медицинских документах гражданина, составляет врачебную тайну и может представляться без согласия гражданина только по основаниям, предусмотренным в ст. 61 настоящих Основ".

Таким образом, в соответствии со ст.ст. 31, 61 Основ, обладателем информации, содержащей врачебную тайну, является пациент (субъект персональных данных) или его законный представитель - только они имеют право распоряжаться передачей кому-либо этой информации, за исключением указанных выше случаев. Заметим, что, в отличие от этого, в пункте 5 статьи 2 федерального закона "Об информации, информационных технологиях и о защите информации" от 27.07.2006 г. N 149-ФЗ дано иное определение: "обладатель информации - лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам".

Можно рекомендовать следующий порядок работы при оказании медицинской помощи по договорам добровольного медицинского страхования (ДМС).

1. При заключении договора на ДМС страховая компания (страховщик) получает письменное согласие застрахованного гражданина на обработку его ПДн, в том числе передачу его паспортных данных в соответствующие медицинские организации (их реквизиты должны быть указаны в согласии), а также прием от них реестров счетов за медицинскую помощь, оказанную по программе ДМС, содержащих ПДн застрахованных граждан.

2. Пациент, при первом обращении в медицинскую организацию (в стационаре - при каждой госпитализации) также оформляет (дает) письменное согласие на обработку его ПДн, в том числе обмен (получение и передачу) информации, содержащей сведения, составляющие врачебную тайну и его ПДн, со страховщиком (его реквизиты должны быть указаны в согласии). Как уже отмечалось, в согласии должно быть также указано, что разрешен обмен сведениями, составляющими врачебную тайну, между медицинскими работниками внутри учреждения.

Тем самым, выполняются требования Закона и Основ относительно конфиденциальности ПДн и информации, составляющей врачебную тайну. Если речь идет об обязательном медицинском страховании (ОМС), то субъектом информационного обмена ПДн является еще также и территориальный фонд ОМС, что должно быть отражено в письменном согласии (для фонда ОМС также необходимо оформить отдельное согласие застрахованного лица).

Следует заметить, что в любом случае пересылка ПДн застрахованных лиц (пациентов) по обычной электронной почте по открытым каналам связи недопустима.

Ниже приведен пример согласия гражданина (пациента) для медицинской организации, оказывающей помощь по программе ДМС, оформленный согласно требованиям ст. 9 Закона и ст. 61 Основ. Целесообразно автоматизировать процесс заполнения реквизитов при подготовке и распечатке согласия пациента в регистратуре (пациенту остается только подписать документ, лучше два экземпляра, один - для учреждения, другой - пациенту). При этом следует ознакомить пациента со статьями 61 Основ и 9 Закона, а также его правами - статьями 14-18, 20 Закона (их текст в виде памятки пациенту можно вывесить на стенде в регистратуре и(или) выдавать на руки пациенту).

Согласие
на обработку персональных данных

Я, нижеподписавшийся "_Ф.И.О. полностью_", проживающий по адресу "_по месту регистрации_", паспорт "_серия и номер_", выдан "_дата и название выдавшего органа_", в соответствии с требованиями статьи 9 федерального закона "О персональных данных" от 27.07.2006 г. N 152-ФЗ, и статьи 61 "Основ законодательства Российской Федерации об охране здоровья граждан" от 22.07.1993 г. N 5487-1, подтверждаю свое согласие на обработку "_название и адрес медицинского учреждения_" (далее - Оператор) моих персональных данных, включающих: фамилию, имя, отчество, пол, дату рождения, адрес места жительства, контактные телефоны, реквизиты паспорта (документа удостоверения личности), реквизиты полиса добровольного медицинского страхования (ДМС), данные о состоянии моего здоровья, заболеваниях, случаях обращения за медицинской помощью - в медико-профилактических целях, в целях установления медицинского диагноза и оказания медицинских услуг при условии, что их обработка осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным сохранять врачебную тайну. В процессе оказания Оператором мне медицинской помощи я предоставляю право медицинским работникам, передавать мои персональные данные, содержащие сведения, составляющие врачебную тайну, другим должностным лицам Оператора, в интересах моего обследования и лечения.

Предоставляю Оператору право осуществлять все действия (операции) с моими персональными данными, включая сбор, систематизацию, накопление, хранение, обновление, изменение, использование, обезличивание, блокирование, уничтожение. Оператор вправе обрабатывать мои персональные данные посредством внесения их в электронную базу данных, включения в списки (реестры) и отчетные формы, предусмотренные документами, регламентирующими порядок ведения и состав данных в учетно-отчетной медицинской документации, а также договором на оказание медицинской помощи по программе ДМС между Оператором и страховой медицинской компанией "_название и адрес компании, N и дата договора_".

Оператор имеет право во исполнение своих обязательств по указанному выше договору на обмен (прием и передачу) моими персональными данными со страховой медицинской компанией "_полное название_" с использованием машинных носителей информации, по каналам связи и(или) в виде бумажных документов, с соблюдением мер, обеспечивающих их защиту от несанкционированного доступа, без специального уведомления меня об этом, при условии, что их прием и обработка будут осуществляется лицом, обязанным сохранять профессиональную (служебную) тайну.

Срок хранения моих персональных данных соответствует сроку хранения первичных медицинских документов (медицинской карты) и составляет "_двадцать пять лет_".

Передача моих персональных данных иным лицам или иное их разглашение может осуществляться только с моего письменного согласия.

Настоящее согласие дано мной "_дата_" и действует бессрочно.

Я оставляю за собой право отозвать свое согласие посредством составления соответствующего письменного документа, который может быть направлен мной в адрес Оператора по почте заказным письмом с уведомлением о вручении либо вручен лично под расписку представителю Оператора.

В случае получения моего письменного заявления об отзыве настоящего согласия на обработку персональных данных, Оператор обязан:

а) прекратить их обработку в течение периода времени, необходимого для завершения взаиморасчетов по оплате оказанной мне до этого медицинской помощи;

б) по истечении указанного выше срока хранения моих персональных данных ("_двадцать пять лет_") уничтожить (стереть) все мои персональные данные из баз данных автоматизированной информационной системы Оператора, включая все копии на машинных носителях информации, без уведомления меня об этом.

Контактный телефон(ы) "..." и почтовый адрес "..."

"подпись субъекта персональных данных"

Реквизиты регистрации документа в медицинской организации

<...>

Регистратор

"подпись, Ф.И.О."

Попутно заметим, что если страхователем гражданина по ДМС является юридическое лицо, а не сам гражданин, то страхователь также должен получить его специальное письменное согласие на обработку ПДн. В общем случае такое согласие может быть оформлено в виде специального списка с подписями субъектов ПДн, в котором указаны их реквизиты, определенные требованиями ст. 9 Закона (Ф.И.О., адрес регистрации, реквизиты паспорта и т.д.).

Дополнительный комментарий.

В проекте закона "Об основах охраны здоровья граждан в Российской Федерации", который 30 июля 2010 г. был опубликован на официальном сайте Минздравсоцразвития России, в части 4 статьи 9 "Врачебная тайна" (она почти полностью совпадает со ст. 61 Основ) сказано: "4. Предоставление сведений, составляющих врачебную тайну, без согласия гражданина или его законного представителя допускается: (...) 7) при обмене информацией в медицинских информационных системах и в медицинских организациях в целях оказания медицинской помощи; 8) при осуществлении государственного контроля качества услуг, оказываемых в сфере охраны здоровья граждан в соответствии с настоящим Федеральным законом." В статьях 83, 84 и 85 законопроекта перечислены персонифицированные сведения о медицинских работниках и пациентах, обработка которых может осуществляться в информационных системах.

Иными словами, если эти законодательные нормы будут приняты, то в соответствии с пунктом 1 части 2 статьи 6 закона "О персональных данных", оформление специального письменного согласия пациента на обработку его персональных данных в медицинских организациях не будет обязательным, как это сейчас, например, не требуется при обработке персональных данных и передаче сведений о гражданах в налоговые органы и пенсионный фонд, поскольку их обработка предусмотрена Налоговым кодексом и законом "Об индивидуальном (персонифицированном) учете в системе обязательного пенсионного страхования".

Аналогичные нормы, согласно которым не требуется оформление специального письменного согласия гражданина на обработку и обмен его персональными данными между соответствующими субъектами системы ОМС предусмотрены и в проекте закона "Об обязательном медицинском страховании", который был опубликован 25 мая 2010 г. и сейчас уже прошел первое чтение в Государственной Думе.

А.П. Столбов,

член Экспертного совета отдела информационных

и вычислительных систем Российского фонда

фундаментальных исследований

при Правительстве Российской Федерации,

заместитель директора Медицинского

информационно-аналитического центра РАМН,

г. Москва

1 сентября 2010 г.

"Врач и информационные технологии", N 5, сентябрь-октябрь 2010 г.