26.12.2024
Александр Василевицкий, эксперт службы правового консалтинга «Гарант», отвечает на вопрос: «Должна ли медицинская организация удалять из медицинских документов и информационных систем сведения о персональных данных пациента по его письменному заявлению?»
В соответствии с Федеральным законом № 323-ФЗ от 21.11.2011 «Об основах охраны здоровья граждан в РФ» медицинская организация обязана вести медицинскую документацию, обеспечивать её учёт и хранение в порядке, установленном Минздравом России, предоставлять информацию в Единую государственную информационную систему в сфере здравоохранения (ЕГИСЗ), соблюдать врачебную тайну, включая конфиденциальность персональных данных (ПД), используемых в медицинских информационных системах (МИС).
Статья 91.1 закона № 323-ФЗ определяет порядок функционирования Единой государственной информационной системы в сфере здравоохранения, устанавливает поставщиков сведений, включая медицинские организации, порядок предоставления информации поставщиками и доступ к системе. Положение о ЕГИСЗ, утверждённое Постановлением Правительства РФ № 140 от 09.02.2022, устанавливает сроки предоставления медицинской организацией сведений в ЕГИСЗ. Правила взаимодействия других информационных систем, предназначенных для сбора, хранения, обработки и предоставления информации о деятельности медицинских организаций и их услугах, с информационными системами в сфере здравоохранения и медицинскими организациями утверждены Постановлением Правительства РФ № 447 от 12.04.2018.
Минздрав утвердил ряд приказов, определяющих формы учётной медицинской документации и порядок их ведения, в том числе:
* приказ № 834н от 15.12.2014 утверждает унифицированные формы медицинской документации для амбулаторных условий и порядок их заполнения;
* приказ № 530н от 05.08.2022 утверждает унифицированные формы медицинской документации для стационарных и дневных стационаров и порядок их ведения;
* приказ № 1130н от 20.10.2020 утверждает формы учётной медицинской документации по профилю «Акушерство и гинекология».
Приказ Минздрава РФ № 947н от 07.09.2020 устанавливает порядок организации системы документооборота в сфере охраны здоровья в части ведения медицинской документации в форме электронных документов. Медорганизация может принять решение о ведении медицинской документации полностью или частично в электронном виде без дублирования на бумажном носителе, что оформляется локальным актом руководителя. Пациент имеет право подать письменное заявление о ведении его медицинской документации в письменном виде (пункты 2 и 4).
В соответствии с пунктом 4 приказа № 947н медорганизация должна определить перечень используемых для формирования и хранения электронных медицинских документов, а также для предоставления доступа к электронным медицинским документам МИС, госинформсистем в сфере здравоохранения субъекта РФ и (или) информсистем, предназначенных для сбора, хранения, обработки и предоставления информации о деятельности медицинских организаций и их услугах.
Приказ № 947н также устанавливает порядок формирования, подписания и хранения меддокументации в виде электронных медицинских документов и порядок регистрации электронных документов в ЕГИСЗ. Согласно пунктам 20 и 21 срок хранения электронного медицинского документа, включая исправления в нём, в информационной системе должен быть не меньше, чем срок хранения медицинского документа, оформленного в бумажном виде. Регистрация электронных медицинских документов производится в ЕГИЗС в течение одного рабочего дня, направление документов в ЕГИЗС осуществляется с использованием информационных систем, указанных в пункте 5 Порядка.
Приказом Минздрава № 408 от 03.08.2023, утвердившим Перечень документов, образующихся в деятельности министерства и подведомственных ему организаций, установлены сроки хранения медицинской документации, в том числе созданной в электронном виде, медорганизациями.
Согласно части 2 статьи 9 Федерального закона № 152-ФЗ от 27.07.2006 «О персональных данных» субъект персональных данных (ПД) имеет право в любое время отозвать согласие на обработку его данных. Способ отзыва согласия, включая форму и сроки, должен быть предусмотрен в согласии на обработку ПД (пункт 8 части 4 статьи 9). В этом случае оператор, если он не вправе осуществлять обработку ПД без согласия субъекта данных на основаниях, предусмотренных законом № 152-ФЗ или другими федеральными законами, обязан прекратить обработку и, если сохранение ПД больше не требуется, уничтожить их в срок до 30 дней с даты поступления отзыва.
Оператор может продолжить обработку ПД без согласия физического лица при наличии оснований, указанных в подпунктах 2—11 части 1 статьи 6, части 2 статьи 10 и части 2 статьи 11 закона № 152-ФЗ. Обработка ПД допускается, если она необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей (пункт 2 части 1 статьи 6 закона № 152-ФЗ); обработка ПД необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов РФ, органов местного самоуправления и функций организаций, участвующих в предоставлении государственных и муниципальных услуг, предусмотренных Федеральным законом № 210-ФЗ от 27.07.2010 «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта ПД на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг (пункт 4 части 1 статьи 6 закона № 152-ФЗ); для защиты жизни, здоровья или иных жизненно важных интересов субъекта ПД, если получение согласия субъекта ПД невозможно (пункт 6 части 1 статьи 6 закона № 152-ФЗ).
Пункт 4 части 2 статьи 10 закона № 152-ФЗ допускает обработку медорганизацией персональных данных специальных категорий, включая сведения о состоянии здоровья и интимной жизни, если обработка осуществляется в медико-профилактических целях, для установления медицинского диагноза, оказания медицинских и медико-социальных услуг. Определение Конституционного суда РФ № 1176-О от 16.07.2013 разъясняет, что приведённое законоположение позволяет хранить информацию о состоянии здоровья граждан исключительно в целях реализации их права на охрану здоровья и медицинскую помощь, при этом конфиденциальность персональных данных обеспечивается врачебной тайной, а потому оно не может рассматриваться как нарушающее конституционные права граждан.
Статья 13 закона № 323-ФЗ допускает предоставление сведений, составляющих врачебную тайну, без согласия пациента (его законного представителя), в том числе:
* при обмене информацией медорганизациями, в том числе размещённой в МИС, в целях оказания медицинской помощи с учётом требований законодательства РФ о персональных данных (пункт 8 части 4);
* для учёта и контроля в системе обязательного социального страхования (пункт 9 части 4);
* для осуществления контроля качества и безопасности медицинской деятельности (пункт 10 части 4).
Изложенное позволяет сделать вывод, что в случае отзыва пациентом согласия на обработку его персональных данных медорганизация должна уведомить пациента о невозможности сделать это и продолжить обработку ПД до окончания её целей. Целями обработки персональных данных в данном случае служат: оказание медицинской помощи пациенту, учёт прикреплённого к медорганизации пациента, хранение медицинской документации, содержащей сведения об оказанной помощи, предоставление медорганизацией установленной отчётности и тому подобное.
По достижении целей обработки или в случае утраты такой необходимости персональные данные подлежат уничтожению либо обезличиванию, если иное не предусмотрено федеральным законом (часть 7 статьи 5 закона № 152-ФЗ).