Новые консультации в системе ГАРАНТ Консалтинг

Рассмотрев вопрос, мы пришли к следующему выводу:
Передача медицинской организацией, в том числе в электронном виде с использованием сети Интернет, персональных данных пациента, включая сведения, составляющие врачебную тайну, страховой организации, заключившей с пациентом договор добровольного медицинского страхования, возможна только с письменного согласия пациента. При этом на медицинской организации лежит обязанность принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных пациента от неправомерного или случайного доступа к ним.

Обоснование вывода:
В соответствии с п. 1 ст. 3 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных" (далее - Закон N 152-ФЗ) персональными данными (далее - ПДн) является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПДн). Любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных, признаётся обработкой ПДн (п. 3 ст. 3 Закона N 152-ФЗ).
Согласно ч. 1 ст. 19 Закона N 152-ФЗ оператор*(1) при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.
По общему правилу, установленному п. 1 ч. 1 ст. 6, ст. 9 Закона N 152-ФЗ, обработка ПДн допускается только с согласия субъектов ПДн, за исключением случаев, перечисленных в п.п. 2-11 ч. 1 ст. 6 Закона N 152-ФЗ. В частности, обработка ПДн без согласия субъектов ПДн допускается, если она необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн (п. 5 ч. 1 ст. 6 Закона N 152-ФЗ).
Вместе с тем в силу ч. 2 ст. 6 Закона N 152-ФЗ обработка специальных категорий ПДн (в частности сведений, касающихся состояния здоровья) регулируется специальными правилами ст. 10 Закона N 152-ФЗ. Подобные сведения могут обрабатываться без согласия субъектов ПДн только в случаях, предусмотренных п.п. 2-9 ч. 2 ст. 10 Закона N 152-ФЗ. К таковым относится, например, ситуация, когда обработка ПДн осуществляется в медико-профилактических целях, в целях установления медицинского диагноза, оказания медицинских и медико-социальных услуг при условии, что обработка персональных данных осуществляется лицом, профессионально занимающимся медицинской деятельностью и обязанным в соответствии с законодательством РФ сохранять врачебную тайну (п. 4 ч. 2 ст. 10 Закона N 152-ФЗ).
Отметим, что на основании ст. 13 Федерального закона от 21 ноября 2011 г. N 323-ФЗ "Об основах охраны здоровья граждан в Российской Федерации" (далее - Закон N 323-ФЗ) сведения о факте обращения гражданина за оказанием медицинской помощи, состоянии его здоровья и диагнозе, иные сведения, полученные при его медицинском обследовании и лечении, составляют врачебную тайну. Врачебная тайна в соответствии с Указом Президента РФ от 6 марта 1997 г. N 188 включена в перечень сведений конфиденциального характера. Соответственно, медицинская организация обязана соблюдать как врачебную тайну, так и требования о защите ПДн, в том числе при создании локальных информационных систем, содержащих данные о пациентах и об оказываемых им медицинских услугах (п. 5 ст. 78 Закона N 323-ФЗ). При этом федеральным законодателем предусмотрен ряд исключений из общего правила о недопустимости разглашения сведений, составляющих врачебную тайну. В частности, предоставление данных сведений без согласия гражданина допускается в целях осуществления учета и контроля в системе обязательного медицинского страхования (п. 9 ч. 4 ст. 13 Закона N 323-ФЗ), для осуществления контроля качества и безопасности медицинской деятельности, осуществляемого в соответствии с Законом N 323-ФЗ (п. 10 ч. 4 ст. 13 Закона N 323-ФЗ).
Таким образом, передача медицинской организацией, в том числе в электронном виде с использованием сети Интернет, персональных данных пациента, включая сведения, составляющие врачебную тайну, страховой организации, заключившей с пациентом договор добровольного медицинского страхования, возможна только с письменного согласия пациента. При этом на медицинской организации лежит обязанность принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных пациента от неправомерного или случайного доступа к ним.

К сведению:
Согласно ч. 1 ст. 44 Федерального закона от 29 ноября 2010 г. N 326-ФЗ "Об обязательном медицинском страховании в Российской Федерации" (далее - Закон N 326-ФЗ) в сфере обязательного медицинского страхования ведется персонифицированный учет сведений о застрахованных лицах и персонифицированный учет сведений о медицинской помощи, оказанной застрахованным лицам. Персонифицированный учет, сбор, обработка, передача и хранение указанных сведений осуществляются Федеральным фондом и территориальными фондами, Пенсионным фондом РФ и его территориальными органами, страховыми медицинскими организациями, медицинскими организациями и страхователями для неработающих граждан. В данном процессе указанные организации выступают в качестве участников информационного обмена (ч. 3 ст. 43 Закона N 326-ФЗ).
Сведения о застрахованном лице и об оказанной ему медицинской помощи в процессе информационного обмена могут представляться в виде документов как в письменной форме, так и в электронной форме при наличии гарантии их достоверности (подлинности), защиты от несанкционированного доступа и искажений. В этом случае юридическая сила представленных документов подтверждается усиленной квалифицированной электронной подписью в соответствии с законодательством Российской Федерации. Решение о возможности предоставления информации в электронной форме принимается совместно участниками информационного обмена (ч. 5 ст. 44 Закона N 326-ФЗ).
Сведения о застрахованном лице и об оказанной ему медицинской помощи относятся к информации ограниченного доступа и подлежат защите в соответствии с законодательством Российской Федерации (ч. 6 ст. 44 Закона N 326-ФЗ).

Ответ подготовил:
Эксперт службы Правового консалтинга ГАРАНТ
Глебов Валерий

Ответ прошел контроль качества

5 октября 2016 г.

Материал подготовлен на основе индивидуальной письменной консультации, оказанной в рамках услуги Правовой консалтинг. 

-------------------------------------------------------------------------
*(1) Оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными (п. 2 ст. 3 Закона N 152-ФЗ).