Медицинская организация не должна удалять персональные данные пациента на основании его заявления.

Медицинская организация не должна удалять персональные данные пациента на основании его заявления.

26.12.2024

Александр Василевицкий, эксперт службы правового консалтинга «Гарант», отвечает на вопрос: «Должна ли медицинская организация удалять из медицинских документов и информационных систем сведения о персональных данных пациента по его письменному заявлению?»

В соответствии с Федеральным законом № 323-ФЗ от 21.11.2011 «Об основах охраны здоровья граждан в РФ» медицинская организация обязана вести медицинскую документацию, обеспечивать её учёт и хранение в порядке, установленном Минздравом России, предоставлять информацию в Единую государственную информационную систему в сфере здравоохранения (ЕГИСЗ), соблюдать врачебную тайну, включая конфиденциальность персональных данных (ПД), используемых в медицинских информационных системах (МИС).

Статья 91.1 закона № 323-ФЗ определяет порядок функционирования Единой государственной информационной системы в сфере здравоохранения, устанавливает поставщиков сведений, включая медицинские организации, порядок предоставления информации поставщиками и доступ к системе. Положение о ЕГИСЗ, утверждённое Постановлением Правительства РФ № 140 от 09.02.2022, устанавливает сроки предоставления медицинской организацией сведений в ЕГИСЗ. Правила взаимодействия других информационных систем, предназначенных для сбора, хранения, обработки и предоставления информации о деятельности медицинских организаций и их услугах, с информационными системами в сфере здравоохранения и медицинскими организациями утверждены Постановлением Правительства РФ № 447 от 12.04.2018.

Минздрав утвердил ряд приказов, определяющих формы учётной медицинской документации и порядок их ведения, в том числе:

* приказ № 834н от 15.12.2014 утверждает унифицированные формы медицинской документации для амбулаторных условий и порядок их заполнения;
* приказ № 530н от 05.08.2022 утверждает унифицированные формы медицинской документации для стационарных и дневных стационаров и порядок их ведения;
* приказ № 1130н от 20.10.2020 утверждает формы учётной медицинской документации по профилю «Акушерство и гинекология».

Приказ Минздрава РФ № 947н от 07.09.2020 устанавливает порядок организации системы документооборота в сфере охраны здоровья в части ведения медицинской документации в форме электронных документов. Медорганизация может принять решение о ведении медицинской документации полностью или частично в электронном виде без дублирования на бумажном носителе, что оформляется локальным актом руководителя. Пациент имеет право подать письменное заявление о ведении его медицинской документации в письменном виде (пункты 2 и 4).

В соответствии с пунктом 4 приказа № 947н медорганизация должна определить перечень используемых для формирования и хранения электронных медицинских документов, а также для предоставления доступа к электронным медицинским документам МИС, госинформсистем в сфере здравоохранения субъекта РФ и (или) информсистем, предназначенных для сбора, хранения, обработки и предоставления информации о деятельности медицинских организаций и их услугах.

Приказ № 947н также устанавливает порядок формирования, подписания и хранения меддокументации в виде электронных медицинских документов и порядок регистрации электронных документов в ЕГИСЗ. Согласно пунктам 20 и 21 срок хранения электронного медицинского документа, включая исправления в нём, в информационной системе должен быть не меньше, чем срок хранения медицинского документа, оформленного в бумажном виде. Регистрация электронных медицинских документов производится в ЕГИЗС в течение одного рабочего дня, направление документов в ЕГИЗС осуществляется с использованием информационных систем, указанных в пункте 5 Порядка.

Приказом Минздрава № 408 от 03.08.2023, утвердившим Перечень документов, образующихся в деятельности министерства и подведомственных ему организаций, установлены сроки хранения медицинской документации, в том числе созданной в электронном виде, медорганизациями.

Согласно части 2 статьи 9 Федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных» субъект персональных данных (ПД) имеет право в любое время отозвать согласие на обработку его данных. Способ отзыва согласия, включая форму и сроки, должен быть предусмотрен в согласии на обработку ПД (пункт 8 части 4 статьи 9). В этом случае оператор, если он не вправе осуществлять обработку ПД без согласия субъекта данных на основаниях, предусмотренных законом № 152-ФЗ или другими федеральными законами, обязан прекратить обработку и, если сохранение ПД больше не требуется, уничтожить их в срок до 30 дней с даты поступления отзыва.

Оператор может продолжить обработку ПД без согласия физического лица при наличии оснований, указанных в подпунктах 2—11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 закона № 152-ФЗ. Обработка ПД допускается, если она необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей (пункт 2 части 1 статьи 6 закона № 152-ФЗ); обработка ПД необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов РФ, органов местного самоуправления и функций организаций, участвующих в предоставлении государственных и муниципальных услуг, предусмотренных Федеральным законом № 210-ФЗ от 27.07.2010 «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта ПД на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг (пункт 4 части 1 статьи 6 закона № 152-ФЗ); для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение согласия субъекта ПД невозможно (пункт 6 части 1 статьи 6 закона № 152-ФЗ).

Пункт 4 части 2 статьи 10 закона № 152-ФЗ допускает обработку медорганизацией персональных данных специальных категорий, включая сведения о состоянии здоровья и интимной жизни, если обработка осуществляется в медико-профилактических целях, для установления медицинского диагноза, оказания медицинских и медико-социальных услуг. Определение Конституционного суда РФ № 1176-О от 16.07.2013 разъясняет, что приведённое законоположение позволяет хранить информацию о состоянии здоровья граждан исключительно в целях реализации их права на охрану здоровья и медицинскую помощь, при этом конфиденциальность персональных данных обеспечивается врачебной тайной, а потому оно не может рассматриваться как нарушающее конституционные права граждан.

Статья 13 закона № 323-ФЗ допускает предоставление сведений, составляющих врачебную тайну, без согласия пациента (его законного представителя), в том числе:

* при обмене информацией медорганизациями, в том числе размещённой в МИС, в целях оказания медицинской помощи с учётом требований законодательства РФ о персональных данных (пункт 8 части 4);
* для учёта и контроля в системе обязательного социального страхования (пункт 9 части 4);
* для осуществления контроля качества и безопасности медицинской деятельности (пункт 10 части 4).

Изложенное позволяет сделать вывод, что в случае отзыва пациентом согласия на обработку его персональных данных медорганизация должна уведомить пациента о невозможности сделать это и продолжить обработку ПД до окончания её целей. Целями обработки персональных данных в данном случае служат: оказание медицинской помощи пациенту, учёт прикреплённого к медорганизации пациента, хранение медицинской документации, содержащей сведения об оказанной помощи, предоставление медорганизацией установленной отчётности и тому подобное.

По достижении целей обработки или в случае утраты такой необходимости персональные данные подлежат уничтожению либо обезличиванию, если иное не предусмотрено федеральным законом (часть 7 статьи 5 закона № 152-ФЗ).