Новости и аналитика Правовые консультации Гражданское право В медицинское учреждение, работающее в системе обязательного медицинского страхования, поступило обращение об отзыве согласия на обработку персональных данных. Пациент требует уничтожить все имеющиеся о нем у учреждения данные. Каковы действия учреждения в таком случае?

В медицинское учреждение, работающее в системе обязательного медицинского страхования, поступило обращение об отзыве согласия на обработку персональных данных. Пациент требует уничтожить все имеющиеся о нем у учреждения данные.
Каковы действия учреждения в таком случае?

В соответствии со ст. 3 Федерального закона от 27.07.2006 N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) персональными данными является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных). Всевозможные действия (операции) с персональными данными, включая сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передачу), обезличивание, блокирование, уничтожение персональных данных, признаются обработкой персональных данных (п. 3 ч. 1 ст. 3 Закона N 152-ФЗ).
По общему правилу, сформулированному в ст. 6 Закона N 152-ФЗ, обработка персональных данных возможна только с согласия субъектов персональных данных, которое должно быть конкретным и информированным, то есть содержать информацию, позволяющую однозначно сделать вывод о целях, способах обработки с указанием действий, совершаемых с персональными данными, объеме обрабатываемых персональных данных (ч. 1 ст. 9 Закона N 152-ФЗ).
Частью 2 ст. 9 Закона N 152-ФЗ закреплено право субъекта в любое время отозвать свое согласие на обработку его персональных данных. Способ отзыва согласия, в том числе форма и сроки отзыва, должны предусматриваться согласием (п. 8 ч. 4 ст. 9 Закона N 152-ФЗ). В этом случае оператор обязан прекратить их обработку или обеспечить прекращение такой обработки и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить в срок, не превышающий тридцати дней с даты поступления указанного отзыва, если оператор не вправе осуществлять обработку персональных данных без согласия субъекта персональных данных на основаниях, предусмотренных Законом N 152-ФЗ или другими федеральными законами (ч. 5 ст. 21 Закона N 152-ФЗ).
Оператор может продолжить обработку персональных данных без согласия физического лица при наличии оснований, указанных в п.п. 2-11 ч. 1 ст. 6, ч. 2 ст. 10 и ч. 2 ст. 11 Закона N 152-ФЗ. В частности, такая обработка допускается, если она необходима для осуществления и выполнения возложенных законодательством РФ на оператора функций, полномочий и обязанностей (п. 2 ч. 1 ст. 6 Закона N 152-ФЗ); если она осуществляется в соответствии с законодательством об обязательном медицинском страховании (п. 8 ч. 2 ст. 10 Закона N 152-ФЗ).
В терминологии Федерального закона от 29.11.2010 N 326-ФЗ "Об обязательном медицинском страховании в Российской Федерации" (далее - Закон N 326-ФЗ) граждане, на которых распространяется обязательное медицинское страхование, являются застрахованными лицами (п. 7 ст. 3 Закона N 326-ФЗ) и имеют право на бесплатное оказание им медицинской помощи медицинскими организациями при наступлении страхового случая*(1) на всей территории РФ в объеме, установленном базовой программой обязательного медицинского страхования, либо на территории субъекта РФ, в котором выдан полис обязательного медицинского страхования, в объеме, установленном территориальной программой обязательного медицинского страхования (п. 1 ч. 1 ст. 16 Закона N 326-ФЗ). Данному праву застрахованных лиц корреспондируется обязанность медицинских организаций бесплатно оказывать застрахованным лицам медицинскую помощь в рамках программ обязательного медицинского страхования (п. 1 ч. 2 ст. 20 Закона N 326-ФЗ). Причем исполнение данной обязанности не связывается с наличием или отсутствием согласия застрахованного лица на обработку его персональных данных. Необходимым предварительным условием оказания медицинских услуг является дача информированного добровольного согласия гражданина или его законного представителя на медицинское вмешательство (ч. 1 ст. 20 Федерального закона от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации", далее - Закон N 323-ФЗ), без которого обслуживание пациента не допускается, за исключением случаев, строго регламентированных в ч. 9 ст. 20 Закона N 323-ФЗ.
Кроме того, в п. 4 ч. 2 ст. 10 Закона N 152-ФЗ указано, что обработка специальных категорий персональных данных, касающихся в числе прочего состояния здоровья физического лица, осуществляемая в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну, допускается без согласия этого лица. Конституционный Суд РФ в определении от 16.07.2013 N 1176-О разъяснил, что приведенное законоположение позволяет хранить информацию о состоянии здоровья граждан исключительно в целях реализации их права на охрану здоровья и медицинскую помощь, при этом конфиденциальность персональных данных обеспечивается врачебной тайной, а потому оно не может рассматриваться как нарушающее конституционные права граждан. Иными словами, такая обработка персональных данных будет законна без согласия самого пациента при ее осуществлении исключительно медицинским персоналом. Аналогичная позиция изложена в письме Минздрава России от 11.09.2014 N 18-1/10/2-6945. Данный вывод разделяют и суды (смотрите, например, решение Ленинского районного суда г. Краснодара Краснодарского края от 24.07.2014 N 2-7599/2014, постановление Восьмого арбитражного апелляционного суда от 31.05.2018 N 08АП-3812/18).
На возможность обработки персональных данных пациента без его согласия указано также в п.п. 8, 9 ч. 4 ст. 13 Федерального закона от 21.11.2011 N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации", в силу которых сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении (врачебная тайна), могут передаваться при обмене информацией медицинскими организациями, в том числе размещенной в медицинских информационных системах, в целях оказания медицинской помощи с учетом требований законодательства РФ о персональных данных, а также в целях осуществления учета и контроля в системе обязательного социального страхования.
Таким образом, обработка персональных данных пациента - застрахованного лица, осуществляемая в целях исполнения норм законодательства об обязательном медицинском страховании, возможна и в отсутствие его согласия, но в том объеме, в котором это установлено Законом N 326-ФЗ (смотрите также письмо Минздрава России от 17.11.2016 N 17-8/3102029-49381). На этом основании, полагаем, медицинская организация должна письменно уведомить пациента, который отозвал свое согласие на обработку его персональных данных, о невозможности совершения подобных действий до достижения конечной цели такой обработки. Заметим, что и после достижения целей обработки оператор вправе ее осуществлять в статистических, научно-исследовательских целях, предварительно обезличив персональную информацию о пациенте (п. 9 ч. 1 ст. 6 Закона N 152-ФЗ).

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Амирова Лариса

Ответ прошел контроль качества

27 сентября 2019 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг. 

-------------------------------------------------------------------------
*(1) Страховой случай - совершившееся событие (заболевание, травма, иное состояние здоровья застрахованного лица, профилактические мероприятия), при наступлении которого застрахованному лицу предоставляется страховое обеспечение по обязательному медицинскому страхованию (п. 4 ст. 3 Закона N 326-ФЗ).