Нужно ли согласие пациента на обработку ПД для ведения статистической отчетности и медкарт?

Учреждение здравоохранения не подключено к централизованной информационной системе здравоохранения, однако ведет электронные базы данных для составления статистической отчетности и ведения карт пациентов.
Необходимо ли получать согласие на обработку персональных данных для внесения их в эти базы данных?

По общему правилу, установленному в абз. 5 п. 2 ст. 8 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон), не требуется согласие на обработку специальных персональных данных в целях организации оказания медицинской помощи при условии, что такие персональные данные обрабатываются медицинским, фармацевтическим или иным работником здравоохранения, на которого возложены обязанности по обеспечению защиты персональных данных и в соответствии с законодательством распространяется обязанность сохранять врачебную тайну.

Кроме того, Закон не требует согласия субъекта персональных данных для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия субъекта персональных данных невозможно (абз. 18 ст. 6 Закона).

Часть 13 ст. 44 Закона о здравоохранении предусматривает, что при формировании электронной медицинской карты пациента, информационных систем, информационных ресурсов, баз (банков) данных, реестров (регистров) в здравоохранении согласие, отзыв согласия на внесение и обработку персональных данных пациента, информации, составляющей врачебную тайну, отказ от их внесения и обработки оформляются на бумажном носителе или иным способом, не запрещенным законодательством, по формам и в порядке, устанавливаемым Министерством здравоохранения.

Справочно: форма такого согласия унифицирована и определена постановлением Министерства здравоохранения Республики Беларусь от 07.06.2021 № 74 «О формах и порядке дачи и отзыва согласия на внесение и обработку персональных данных пациента» (далее — постановление № 74).
Порядок применения указанной формы приведен в Инструкции о формах и порядке дачи и отзыва согласия на внесение и обработку персональных данных, информации, составляющей врачебную тайну, отказа от их внесения и обработки и порядке информирования о праве на отказ от внесения информации, составляющей врачебную тайну, в централизованную информационную систему здравоохранения» (утв. постановлением № 74, далее — Инструкция).

В ч. 13 ст. 44 Закона о здравоохранении и Инструкции говорится в т. ч. о том, что согласие по унифицированной форме надо получать и при внесении персональных данных пациента в информационную систему (ресурс) организации здравоохранения.

Согласно ст. 1 Закона Республики Беларусь от 10.11.2008 № 455-З «Об информации, информатизации и защите информации» (в ред. от 24.05.2021):

• информационная система — совокупность банков данных, информационных технологий и комплекса (комплексов) программно-­технических средств;
• информационный ресурс — организованная совокупность документированной информации, включающая базы данных, другие совокупности взаимосвязанной информации в информационных системах.

По мнению Национального центра защиты персональных данных, к информационным ресурсам оператора следует относить такие распространенные ресурсы (системы), как корпоративная электронная почта, программное обеспечение для ведения бухгалтерского учета и отчетности, сайты организаций, автоматизированные системы контроля и управления доступом, системы видеонаблюдения в организации, системы электронного документооборота и т. п.

Мнение автора
В таком случае, полагаем, ведение информационных баз данных для учета и ведения карт пациентов требует согласия.
Что касается получения данных для составления отчетности, то, если цель обработки персональных данных — организация и проведение государственных статистических наблюдений, формирование официальной статистической информации, с учетом абз. 12 ст. 6 и абз. 11 п. 2 ст. 8 Закона, полагаем, согласие не требуется.