Предоставление персональных данных третьим лицам: как не нарушить закон

В соответствии с абз. 10 ст. 1 Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее — Закон) предоставление персональных данных — это действия, направленные на ознакомление с персональными данными определенных лица или круга лиц.

Это важно
Персональные данные, касающиеся здоровья человека, относятся к специальным персональным данным, для которых установлен особый режим обработки.

Ежедневно организации здравоохранения могут обмениваться различными сведениями с государственными органами и организациями, отвечать на запросы субъектов хозяйствования и физических лиц, предоставлять возможность ознакомления с теми или иными документами.

Между тем предоставление персональных данных пациентов или работников организации здравоохранения сторонним организациям является обработкой персональных данных и должно осуществляться с соблюдением установленных Законом требований, в т. ч. при наличии соответствующего правового основания.

Какие правовые основания могут быть

В качестве правовых оснований предоставления персональных данных могут выступать:

• ст. 6 «Обработка персональных данных без согласия субъекта персональных данных» Закона;
• ст. 8 «Обработка специальных персональных данных» Закона;
• согласие субъекта персональных данных.

Например, обработка персональных данных осуществляется без согласия субъекта персональных данных, когда она является необходимой для выполнения обязанностей (полномочий), предусмотренных законодательными актами (абз. 20 ст. 6, в отношении специальных персональных данных — абз. 17 п. 2 ст. 8 Закона).

Справочно: данное правовое основание применяется и в том случае, если обязанности (полномочия) закреплены в законодательном акте, а порядок их реализации — в принятом в его развитие нормативном правовом акте.

Особенности предоставления ПД пациентов

Особенностью предоставления персональных данных пациентов является то, что многие обрабатываемые организацией здравоохранения сведения относятся к врачебной тайне.

Это важно
При предоставлении сведений о пациентах третьим лицам организациям здравоохранения необходимо учитывать положения Закона о здравоохранении.

В соответствии с ч. 7 ст. 46 Закона о здравоохранении предоставление информации, составляющей врачебную тайну, без согласия пациента или лиц, указанных в ч. 2 ст. 18 Закона о здравоохранении, допускается:

• по запросу в письменной форме и (или) в виде электронного документа, оформленного в соответствии с законодательством об электронных документах и электронной цифровой подписи, органам и организациям, перечисленным в абз. 2–11 ч. 8 ст. 46 Закона о здравоохранении;
• в иных случаях, установленных законодательными актами (абз. 12 ч. 7 ст. 46 Закона о здравоохранении).

В запросе на предоставление персональных данных пациентов или работников запрашивающая организация должна указать:

1. цели обработки персональных данных;
2. объем и содержание запрашиваемых персональных данных;
3. правовые основания обработки персональных данных.

Если правовым основанием выступает абз. 20 ст. 6 или абз. 17 ст. 8 Закона, запрашивающей организации необходимо также указать конкретную норму законодательного акта, которая наделяет ее обязанностью (полномочием), требующей обработки персональных данных или специальных персональных данных.

Если правовым основанием обработки персональных данных является согласие субъекта персональных данных, то запрос направляется с приложением копии согласия.

Справочно: если запрашивается информация о работнике и предоставление персональных данных работника в процессе его трудовой деятельности обусловлено требованиями законодательства, то оно осуществляется на основании абз. 8 ст. 6 и абз. 3 п. 2 ст. 8 Закона.

В отношении уволенных работников правовыми основаниями для предоставления персональных данных без их согласия третьим лицам в зависимости от ситуации могут выступать, в частности, абз. 11 и 20 ст. 6 Закона.

Пример

В соответствии со ст. 75, 76 и 93 Закона Республики Беларусь от 17.04.1992 № 1596-XII «О пенсионном обеспечении» наниматели обязаны представлять в органы, осуществляющие пенсионное обеспечение, необходимые для назначения пенсий документы, а также сведения о приеме пенсионеров на работу (их увольнении).

Оценка правовых оснований

Оценка правовых оснований предоставления персональных данных пациентов и работников организацией здраво­охранения должна осуществляться самостоятельно с учетом информации, содержащейся в запросе.

Как показывает практика, зачастую многие операторы допускают нарушения и Закона, и Закона о здраво­охра­нении, предоставляя персональные данные по любым поступающим в их адрес запросам без их должного критического осмысления с позиции соблюдения требований законодательства.

Пример 1

Страховая организация с целью оценки страховых рисков при заключении договора добровольного медицинского страхования направила в организацию здравоохранения запрос с целью уточнения достоверности сведений о состоянии здоровья, указанных в анкете клиента. В качестве правового основания страховая организация указала абз. 6 ч. 8 ст. 46 Закона о здравоохранении. Организация здравоохранения предоставила сведения о состоянии здоровья, диагнозах и наличии хронических заболеваний пациента страховой организации.

Между тем абз. 6 ч. 8 ст. 46 Закона о здравоохранении допускает предоставление информации, составляющей врачебную тайну, по запросам страховых организаций для решения вопроса о назначении страховых выплат, т. е. когда страховой случай уже наступил и страховая организация желает удостовериться в определенных обстоятельствах, необходимых для назначения страховых выплат.

В рассматриваемом примере речь идет о проверке правильности предоставленных потенциальным клиентом страховой организации сведений о состоянии здоровья для выбора оптимального страхового тарифа и конкретных условий добровольного медицинского страхования. Следовательно, медицинская организация не имела правовых оснований для предоставления страховой организации указанных сведений.

Пример 2

Учреждение образования в рамках проводимого в соответствии с Положением о порядке признания детей находящимися в социально опасном положении (утв. постановлением Совета Министров Республики Беларусь от 15.01.2019 № 22) социального расследования запросило в организации здравоохранения сведения о наличии у законного представителя несовершеннолетнего психического расстройства (заболевания).

Организация здравоохранения правомерно отказала в предоставлении запрашиваемых сведений учреждению образования.

Пример 3

В организацию здравоохранения поступил запрос от предприятия с просьбой предоставить информацию о нахождении на лечении их работника для определения уважительности причины его отсутствия на работе. В качестве правового основания предприятие сослалось на п. 3 ч. 1 ст. 55 ТК, обязывающий нанимателя вести учет фактически отработанного работником времени.

Однако абз. 6 ч. 8 ст. 46 Закона о здравоохранении не предусматривает предоставления указанной информации по запросу нанимателя.

В числе часто встречающихся правовых оснований для запроса информации указываются, например, служебная необходимость, укрепление межведомственного взаимодействия, проведение воспитательной работы и др.

Приведенные и иные подобные формулировки не могут являться надлежащим правовым основанием для предоставления запрашиваемых сведений.

О чем важно помнить руководителю

Для предоставления персональных данных третьим лицам у организации здравоохранения должны быть надлежащие правовые основания.

Информация, составляющая врачебную тайну, может быть предоставлена третьим лицам только в случаях, преду­смотренных законодательными актами, либо с согласия пациента или лиц, указанных в ч. 2 ст. 18 Закона о здраво­охранении.

Ответственность за предоставление сведений о пациентах или работниках несет организация здравоохранения. Поэтому если у нее возникли обоснованные сомнения относительно правовых оснований предоставления персональных данных, она вправе запрашивать дополнительную информацию для выполнения требований, предусмотренных ст. 4 Закона, в частности, уточнения целей и, соответственно, объема информации, необходимой для их достижения.

Статья 12 Закона закрепляет право субъекта персональных данных получать от оператора информацию о предоставлении своих персональных данных третьим лицам. Наличие у субъекта такого права предполагает обязанность организации здравоохранения обеспечить учет фактов передачи персональных данных третьим лицам.