ANALYSIS OF NATIONAL LEGISLATION RELATIONS IN PARTS OF THE PROCESSING OF PERSONAL DATA IN THE HEALTH SERVICE

Full Text

Как известно, сегодняшний этап деятельности отечественных медицинских учреждений определяет не только необходимость использования целого ряда персональных данных (ПД), но и их защита. Действующее законодательство, регулирующее отношения в части обработки ПД, отличает значительное число коллизий и затруднительных для реализации положений [10]. Между тем отчеты о деятельности Уполномоченного органа по защите прав субъектов ПД за последние годы (2011-2013) свидетельствуют о росте гражданской активности в вопросах защиты прав и законных интересов субъектов ПД [2-4]. Целью настоящей работы является анализ действующего законодательства, регулирующего отношения в части обработки ПД в деятельности медицинских учреждений - Федерального закона (ФЗ) Российской Федерации (РФ) «О персональных данных» от 27.07.2006 г. № 152-ФЗ, в редакции ФЗ РФ от 23.07.2013 г. № 205-ФЗ; ФЗ РФ «Об обязательном медицинском страховании в Российской Федерации» от 29.11.2010 г. № 326-ФЗ, в редакции ФЗ РФ от 14.06.2011 г. № 136-ФЗ, ФЗ РФ «Об основах охраны здоровья граждан в Российской Федерации» от 21.11.2011 г. № 323-ФЗ. Во-первых, термин «персональные данные», неоднократно упоминаемый в ФЗ РФ «Об основах охраны здоровья граждан в Российской Федерации» от 21.11.2011 г. № 323-ФЗ (в дальнейшем -ФЗ № 323), раскрывает ФЗ РФ «О персональных данных» от 27.07.2006 г. № 152-ФЗ (в дальнейшем - ФЗ № 152), в редакции ФЗ РФ от 23.07.2013 г. № 205-ФЗ -«любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)» (п. 1 ст. 3). Под обработкой ПД понимают (п.3 ст.3 ФЗ № 152): «любое действие (операция) или совокупность действий (операций), совершаемых с использованием 151 Российский медико-биологический вестник имени академика И.П. Павлова, № 2, 2015 г. средств автоматизации или без использования таковых с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных». Из данного определения следует, что, во-первых, обработка ПД - может быть любым из указанных в п.3 ст.3 ФЗ № 152 действий - сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение ПД; во-вторых, как одиночным, так и множественным действием; в-третьих, «автоматизированной» - с использованием средств вычислительной техники (автоматизации) и «неавтоматизированной» - без них; в-четвертых, относится к достаточно сложным понятиям, о чем свидетельствует включение 13 выше названных составляющих. Несколько иной взгляд на обработку ПД представлен в законодательстве в сфере охраны здоровья. Так, в ФЗ № 323 законодатель под обработкой ПД понимает «персонифицированный учет (ПУ) при осуществлении медицинской деятельности» и связывает его с двумя категориями лиц - «которые участвуют в оказании медицинских услуг» и «которым оказываются медицинские услуги» (ч.1 ст.92). Последние, исходя из пп.4, 9, 13 ст. 2 ФЗ № 323, составляют медицинские работники и пациенты, соответственно. В ФЗ РФ «Об обязательном медицинском страховании в Российской Федерации» от 29.11.2010 г. № 326-ФЗ, в редакции ФЗ от 14.06.2011 г. № 136-ФЗ (в дальнейшем - ФЗ № 326), ПУ в сфере обязательного медицинского страхования (ОМС) противопоставляется обработке ПД (ч.3 ст.43). Так, законодатель, перечисляя действия, осуществляемые в сфере ОМС, указывает: «персонифицированный учет, сбор, обработка, передача и хранение сведений.». Кроме того, под ПУ в сфере ОМС фигурируют организация и ведение учета сведений о каждом застрахованном лице (ч.1 ст.43). Причем, данное положение представлено в статье (43) с названием: «Персонифицированный учет в сфере обязательного медицинского страхования». Однако уже следующая статья (44) ФЗ № 326 противопоставляется предшествующей и называется «Персонифицированный учет сведений о застрахованных лицах и сведений о медицинской помощи, оказанной застрахованным лицам». Так, например, ч.1 этой статьи гласит: «В сфере обязательного медицинского страхования ведется персонифицированный учет сведений о застрахованных лицах и персонифицированный учет сведений о медицинской помощи, оказанной застрахованным лицам». Налицо расхождения в представлениях о ПУ в рамках одного лишь закона - ФЗ № 326. Таким образом, если в ФЗ № 323 (ч.1 ст.92) ПУ - обработка ПД, причем в отношении двух категорий лиц, то в ФЗ № 326 - организация и ведение учета сведений о каждом застрахованном лице (ч. 1 ст.43), а также сведений о застрахованных лицах и сведений о медицинской помощи, оказанной этим лицам. Отмеченная несогласованность вышеуказанных положений законодательства в сфере охраны здоровья, требует внесения определенных изменений в нормы, регулирующие отношения в части обработки ПД. Речь идет о приведении данного законодательства в части обработки ПД в соответствие с положениями ФЗ № 152 - регулирующего отношения, связанные с обработкой ПД. Что касается самого термина «персонифицированный учет», то его использование в законодательстве в сфере охраны здоровья следует признать откровенно неудачным. Слово «персонифицированный», согласно современному словоупотреблению, «олицетворяет, наделяет животного, предметы, явления природы и отвлеченные понятия человеческими свойствами» [5]. По своему смыслу ПУ уже изначально имеет отношение к непо 152 Российский медико-биологический вестник имени академика И.П. Павлова, № 2, 2015 г. средственному (фиксированному) «человеческому» материалу, его какая-либо абстрактность/отвлеченность» представляется совершенно не обоснованной. «Персонификация» применительно к представлению природных явлений, человеческих свойств, отвлеченных понятий в образе человека получила определенное распространение в мифологии, сказках, притчах [6]. Смысл же рассматриваемого термина вполне можно связать с использованием слова «персональный» - касающийся только данного лица [1]. Отсюда правильное (в соответствии со своим истинным смыслом и значением) его название - «персональный учет». Однако в данной работе мы оставим термин «персонифицированный учет» без изменения, так как в таком виде он пока еще фигурирует в современном «медицинском» законодательстве. Кстати, термин «персонифицированный учет» ни в Конституции РФ (в дальнейшем - Конституция), ни в ФЗ № 152, в отличие от законодательства в сфере охраны здоровья, не упоминается. Он «не известен». Представляется, что термин «персонифицированный учет» при осуществлении медицинской деятельности как не соответствующий в первую очередь законодательству в области ПД должен быть заменен в законодательстве в сфере охраны здоровья - ФЗ № 323, ФЗ № 326 и других на термин «обработка персональных данных». Во-вторых, действующее законодательство в сфере здравоохранения имеет отношение к обработке как общей, так и специальной категорий ПД. Последняя, согласно ч.1 ст.10 ФЗ № 152, включает данные о «состоянии здоровья, интимной жизни». Для обработки ПД, относимых к так называемой общей категории, является обязательным наличие согласия субъекта ПД. При отсутствии согласия она допускается в следующих случаях, указанных в ч.1 ст.6 ФЗ № 152, если: - «обработка персональных данных необходима для достижения целей, предусмотренных международным догово ром Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей (п.2); - обработка персональных данных необходима для осуществления правосудия, исполнения судебного акта, акта другого органа или должностного лица, подлежащих исполнению в соответствии с законодательством Российской Федерации об исполнительном производстве (п.3); - обработка персональных данных необходима для исполнения полномочий федеральных органов исполнительной власти, органов государственных внебюджетных фондов, исполнительных органов государственной власти субъектов Российской Федерации, органов местного самоуправления и функций организаций, участвующих в предоставлении соответственно государственных и муниципальных услуг, предусмотренных Федеральным законом от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг», включая регистрацию субъекта персональных данных на едином портале государственных и муниципальных услуг и (или) региональных порталах государственных и муниципальных услуг (п.4); - обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем (п.5); - обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно (п.6); - обработка персональных данных необходима для осуществления прав и законных интересов оператора или третьих лиц либо для достижения общественно 153 Российский медико-биологический вестник имени академика И.П. Павлова, № 2, 2015 г. значимых целей при условии, что при этом не нарушаются права и свободы субъекта персональных данных (п.7); - обработка персональных данных необходима для осуществления профессиональной деятельности журналиста и (или) законной деятельности средства массовой информации либо научной, литературной или иной творческой деятельности при условии, что при этом не нарушаются права и законные интересы субъекта персональных данных (п.8); - обработка персональных данных осуществляется в статистических или иных исследовательских целях, за исключением целей, указанных в ст.15 настоящего Федерального закона (ФЗ № 152), при условии обязательного обезличивания персональных данных (п.9); - осуществляется обработка персональных данных, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных либо по его просьбе (п.10); - осуществляется обработка персональных данных, подлежащих опубликованию или обязательному раскрытию в соответствии с федеральным законом (п. 11).» Обработку специальной категории ПД ФЗ № 152 допускает только в исключительных случаях, предусмотренных ч.2 ст. 10: - «субъект персональных данных дал согласие в письменной форме на обработку своих персональных данных (п. 1); - персональные данные сделаны общедоступными субъектом персональных данных (п.2); - обработка персональных данных необходима в связи с реализацией международных договоров Российской Федерации о реадмиссии (п.2.1); - обработка персональных данных осуществляется в соответствии с Федеральным законом от 25 января 2002 года № 8-ФЗ «О Всероссийской переписи населения» (п.2.2); - обработка персональных данных осуществляется в соответствии с законодательством о государственной социальной помощи, трудовым законодательством, законодательством Российской Фе дерации о пенсиях по государственному пенсионному обеспечению, о трудовых пенсиях (п.2.3); - обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных либо жизни, здоровья или иных жизненно важных интересов других лиц и получение согласия субъекта персональных данных невозможно (п.3); - обработка персональных данных осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством Российской Федерации сохранять врачебную тайну (п.4); - обработка персональных данных членов (участников) общественного объединения или религиозной организации осуществляется соответствующими общественным объединением или религиозной организацией, действующими в соответствии с законодательством Российской Федерации, для достижения законных целей, предусмотренных их учредительными документами, при условии, что персональные данные не будут распространяться без согласия в письменной форме субъектов персональных данных (п.5); - обработка персональных данных необходима для установления или осуществления прав субъекта персональных данных или третьих лиц, а равно и в связи с осуществлением правосудия (п.6); - обработка персональных данных осуществляется в соответствии с законодательством Российской Федерации об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, об исполнительном производстве, уголовноисполнительном законодательством Российской Федерации (п.7); - обработка полученных в установленных законодательством Российской 154 Российский медико-биологический вестник имени академика И.П. Павлова, № 2, 2015 г. Федерации случаях персональных данных осуществляется органами прокуратуры в связи с осуществлением ими прокурорского надзора (п.7.1); - обработка персональных данных осуществляется в соответствии с законодательством об обязательных видах страхования, со страховым законодательством (п.8)». Таким образом, и обработку общей категории ПД, и обработку специальной категории ПД характеризует согласие субъекта ПД. Данное обстоятельство вполне можно отнести к коллизии. В-третьих, при обработке ПД необходимо соблюдение следующих принципов (ст.5 ФЗ № 152): осуществление на законной и справедливой основе (п. 1); ограничение достижением конкретных, заранее определенных и законных целей; исключение обработки ПД, несовместимой с целями сбора ПД (п.2); исключение объединения баз данных, содержащих ПД, обработка которых осуществляется в целях, несовместимых между собой (п.3); «обработке подлежат только персональные данные, которые отвечают целям их обработки» (п.4); «содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки» (п.5); «при обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных; оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных» (п.6); «хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных; обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей, если иное не предусмотрено федеральным законом» (п.7). В-четвертых, условия обработки ПД представлены в ст.6 ФЗ № 152. Так, обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных указанным ФЗ (ч.1). «Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, на основании заключаемого с этим лицом договора, в том числе государственного или муниципального контракта, либо путем принятия государственным или муниципальным органом соответствующего акта (далее - поручение оператора). Лицо, осуществляющее обработку персональных данных по поручению оператора, обязано соблюдать принципы и правила обработки персональных данных. В поручении оператора должны быть определены перечень действий (операций) с персональными данными, которые будут совершаться лицом, осуществляющим обработку персональных данных, и цели обработки, должна быть установлена обязанность такого лица соблюдать конфиденциальность персональных данных и обеспечивать безопасность персональных данных при их обработке» (ч.3). «Лицо, осуществляющее обработку персональных данных по поручению оператора, не обязано получать согласие субъекта персональных данных на обработку его персональных данных» (ч.4). «В случае, если оператор поручает обработку персональных данных другому лицу, ответственность перед субъектом персональных данных за действия указанного лица несет оператор. Лицо, осуществляющее обработку персональных данных по поручению оператора, несет ответственность перед оператором» (ч.5). Заключение Таким образом, представленный в работе анализ отечественного законодательства в части обработки персональных данных в деятельности медицинских уч 155 Российский медико-биологический вестник имени академика И.П. Павлова, № 2, 2015 г. реждений, позволяет признать необходимость внесения изменений в «медицинское» законодательство, основанных на ФЗ № 152. В медицинской деятельности в части обработки персональных данных необходимо четко и неукоснительно придерживаться всех выше представленных «законных» положений, включая принципы и условия данной обработки.

References

Supplementary files