Мы снова возвращаемся к обсуждению важного и актуального вопроса обработки персональных данных. Какие особенности нужно учесть сегодня? Какие спорные вопросы возникают в организациях здравоохранения? Об этом вы узнаете из нашей статьи.
Национальный центр защиты персональных данных (далее — НЦЗПД) разместил в своем Telegram-канале официальные разъяснения, касающиеся особенностей обработки персональных данных в сфере здравоохранения. В них НЦЗПД отвечает на вопрос о том, надо ли брать согласие пациентов на обработку персональных данных в поликлинике.
На заметку руководителю
Позиция НЦЗПД заключается в том, что такое согласие не нужно.
Однако исключение составляет тот случай, когда сведения о пациенте необходимы для внесения персональных данных в электронную медицинскую карту и централизованную информационную систему здравоохранения.
Согласно абз. 20 ст. 6 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (в ред. от 01.06.2022, далее — Закон о персональных данных) согласие субъекта персональных данных не требуется в случаях, когда обработка персональных данных осуществляется с целью выполнения обязанностей, предусмотренных законодательными актами.
Рассмотрим с этой точки зрения различные ситуации, с которыми сталкиваются организации здравоохранения.
В случае записи пациента на прием, выдачи талона без согласия обрабатываются персональные данные, не относящиеся к специальным (ФИО, адрес и т. п.).
Справочно: правовое основание:
• ч. 1 ст. 14 Закона о здравоохранении;
• приказ Министерства здравоохранения от 30.08.2007 № 710 «Об утверждении форм первичной медицинской документации в амбулаторно-поликлинических организациях» (в ред. от 13.08.2021).
В случае обработки специальных персональных данных (состояние здоровья пациента, диагноз и т. п.) при оказании медицинской помощи согласие физического лица не требуется.
Это важно
Правовое основание в данном случае — абз. 6 п. 2 ст. 8 Закона о персональных данных.
С 1 сентября 2022 г. в Закон о персональных данных внесены изменения в части правового основания обработки персональных данных (п. 6 ст. 75 Закона Республики Беларусь от 01.06.2022 № 175-З «О государственной службе»).
Одно из изменений касается правового основания, предусмотренного абз. 11 ст. 6 Закона о персональных данных (см. таблицу).
Таблица
Правовое основание обработки персональных данных, предусмотренное абз. 11 ст. 6 Закона о персональных данных
Второе изменение внесено в п. 2 ст. 8 Закона о персональных данных. В связи с этим в ст. 8 изменилась нумерация правовых оснований обработки специальных персональных данных. Это необходимо учитывать руководителям организаций здравоохранения при ведении реестра обработки персональных данных.
Представитель НЦЗПД ответил на один из важнейших вопросов: нужно ли брать согласие у пациента, который обслуживается в поликлинике уже много лет (короткая ссылка — clck.ru/336Haf)?
По мнению представителя НЦЗПД, все зависит от того, какой порядок обработки персональных данных пациентов применяется в конкретной поликлинике. Как уже отмечалось выше, в случае записи пациента на прием, выдачи талона персональные данные, которые не относятся к специальным (ФИО, адрес и т. п.), обрабатываются без согласия.
Это важно
Если при обработке специальных персональных данных используются средства автоматизации (например, заполнение электронной медицинской карты), то законодательство требует получать согласие на такую обработку.
При отказе пациента от дачи согласия ведение его медицинской карты будет осуществляться только на бумажном носителе. При этом такой выбор гражданина не повлияет на возможность получения им соответствующей услуги в организации здравоохранения.
Представитель НЦЗПД также отметил, что Закон о персональных данных применяется в отношении организаций здравоохранения независимо от их формы собственности.
Если взять для примера обращение пациента в частный стоматологический центр, то если цель обращения пациента — оказание медицинской помощи и персональные данные требуются для данной цели, то получение дополнительного согласия не требуется.
Это важно
Исключение составляют случаи, когда обработка специальных персональных данных происходит с использованием средств автоматизации.
В описанном случае не следует путать дачу согласия на обработку персональных данных с дачей добровольного информированного согласия на оказание медицинской помощи. Такое согласие дается предварительно и является необходимым условием оказания медицинской помощи пациенту в соответствии с Законом о здравоохранении.
Представитель НЦЗПД привел пример еще одной ситуации, когда организации здравоохранения не требуется брать согласие на обработку персональных данных.
ПРИМЕР
Ребенок попал в больницу после ДТП, и ему нужна экстренная операция, для проведения которой необходимы отдельные сведения из медицинских документов, иных источников информации. В данном случае согласие не требуется.
Данный случай подпадает под такое правовое основание обработки персональных данных без согласия, как защита жизни, здоровья или иных жизненно важных интересов субъекта персональных данных или иных лиц, если получение согласия невозможно.
В организации здравоохранения часто поступают запросы от различных организаций, в т. ч. от нанимателей в отношении своих работников, например запрос данных из медицинской карты.
Имеет ли организация здравоохранения право предоставлять такие сведения без согласия пациента? Нет. Обработка специальных персональных данных без согласия субъекта персональных данных запрещается.
На заметку руководителю
Исключением является проведение расследования несчастного случая на производстве и профессионального заболевания.
В иных ситуациях предоставление такой информации может происходить только с согласия пациента, данные которого запрашиваются.
Если родители подписали согласие на вакцинацию ребенка, нужно ли брать согласие на обработку персональных данных ребенка?
В данном случае, как отмечает представитель НЦЗПД, речь идет о согласии на медицинское вмешательство в соответствии с законодательством в сфере здравоохранения. И лишь в том случае, если персональные данные ребенка вносятся в электронную медицинскую карту, согласие на такую обработку персональных данных требуется.
